Je wachtwoord gelekt? Deze tools geven je meteen een seintje!
Er zijn verschillende tools die je meteen op de hoogte stellen als je inloggegevens, zoals e-mailadressen en wachtwoorden, gestolen zijn na een datalek. Deze worden los, maar ook als onderdeel van wachtwoordmanagers en browsers aangeboden. In dit artikel bespreken we een aantal van deze tools.
In dit artikel bespreken we verschillende tools die monitoren of je wachtwoorden of andere inloggegevens op straat zijn beland en je vervolgens een seintje geven. We noemen losstaande tools, zoals Have I Been Pwned en Scattered Secrets, maar ook wachtwoordmanagers (zoals 1Password en Dashlane) en browsers (bijvoorbeeld Chrome en Firefox) waarin dergelijke functies geïntegreerd zitten.
Have I Been Pwned?
Have I Been Pwned (HIBP) is waarschijnlijk de populairste site die zich richt op het bijhouden van gestolen inloggegevens. HIBP beheert een database met inloggegevens die, vaak door een datalek, van websites worden gestolen en vervolgens op bijvoorbeeld hackersfora zijn gepubliceerd. Als gebruikers hun e-mailadres op de site invullen, kijkt HIBP of dat adres aanwezig is in zijn database met gestolen gegevens. HIBP bevat ook een optie waarmee gebruikers meteen een e-mail krijgen als hun mailadres is gevonden in een nieuw datalek.
HIBP is echter niet perfect. De tool kan aangeven of iemands e-mailadres onderdeel is van een datalek, maar laat niet weten of daar ook wachtwoorden bij zijn buitgemaakt. Het is natuurlijk aan te raden om bij sites die door een datalek getroffen zijn uit voorzorg je wachtwoord te veranderen, maar met deze tool weet je nooit zeker of dat ook echt nodig is.
Wel biedt HIBP een extra functie aan, Pwned Passwords, om erachter te komen of een van je wachtwoorden is gelekt. Deze functie vertelt echter alleen maar dát een wachtwoord in X-aantal gelekte datasets is voorgekomen. Er wordt niet genoemd van welke sites je wachtwoord is gestolen. Je moet dus zelf uitzoeken bij welke sites je dat wachtwoord hebt gebruikt. Bovendien is het niet mogelijk om via je e-mail een melding te krijgen als een van je wachtwoorden onderdeel was van een nieuw datalek.
Firefox-moederbedrijf Mozilla heeft overigens bijna precies dezelfde functie: de Mozilla Monitor. Dat is weinig meer dan Have I Been Pwned met een nieuw likje verf. Er wordt namelijk gewoon gebruikgemaakt van dezelfde database. De enige aanvullende optie is dat je kunt instellen dat alle waarschuwingen naar één primair e-mailadres worden gestuurd. Als je veel verschillende e-mails gebruikt, hoef je dus niet telkens de inboxen van al deze adressen in de gaten te houden om erachter te komen of je gegevens zijn gestolen.
Alternatieve, losstaande diensten
Als je van een andere database dan Have I Been Pwned gebruik wilt maken, zijn er verschillende kleinere diensten die je kunt overwegen. Zo heb je bijvoorbeeld Dehashed en het Nederlandse Scattered Secrets. Ze gaan op dezelfde manier te werk als HIBP. De gestolen inloggegevens die in hun databases staan, zullen dus grotendeels dezelfde zijn (al beweren deze sites wel toegang te hebben tot 'privédatasets' die niet online staan en dus alleen in hun bezit zijn).
Het grootste verschil is dat Scattered Secrets en Dehashed wél vertellen van welke sites de gestolen wachtwoorden afkomstig zijn. Deze twee diensten houden dus bij welk wachtwoord bij welk e-mailadres hoort. Ze sturen alleen een waarschuwing als behalve je e-mailadres ook je wachtwoord is buitgemaakt.
Wel kost Scattered Secrets 2 euro per e-mailadres per jaar, mits je waarschuwingsmeldingen wilt ontvangen. Bij Dehashed is het ontvangen van meldingen gratis, al moeten gebruikers wel 15 dollar per maand of 180 dollar per jaar betalen voor enkele geavanceerde functies, waaronder toegang tot hun 'privédatasets'.
Wachtwoordmanagers
Naast tools die zich specifiek richten op het monitoren van gelekte inloggegevens, zijn er ook steeds meer wachtwoordmanagers met een dergelijke ingebouwde functie. Zo heeft 1Password (3 euro per maand) de Watchtower-feature, die gebruikmaakt van de Have I Been Pwned-database en de gegevens die daarin staan vergelijkt met je opgeslagen wachtwoorden. Als een van je wachtwoorden aan HIBP wordt toegevoegd, krijg je een melding. Maar zoals gezegd geeft de HIBP-database niet aan van welke site je wachtwoord is weggeplukt en welke andere inloggegevens daaraan gekoppeld zijn. Wie weet gaat het dus wel om een lek bij een site waar jij niet eens lid van bent, maar iemand anders die toevallig hetzelfde wachtwoord gebruikt.
Dashlane (3,65 euro per maand) werkt zo’n beetje op dezelfde manier, maar maakt gebruik van een eigen systeem om op het darkweb naar (onder meer) je (master)wachtwoorden te speuren. Dashlane koppelt de wachtwoorden wél aan je andere inloggegevens. Ook LastPass (gratis) heeft een dergelijke functie op basis van een eigen systeem, al is deze versie beperkter, omdat deze alleen checkt of je e-mailadres in een datalek-database voorkomt. Met wachtwoorden wordt dus helemaal niets gedaan.
We bespreken hier alleen kort de wachtwoordmonitorfuncties van de wachtwoordmanagers, maar je kunt natuurlijk nog veel meer met deze diensten. Als je op zoek bent naar meer informatie over de andere functionaliteiten van deze tools, lees dan het artikel 7 tips om de beste wachtwoordmanager te vinden.
Ingebouwde browserfuncties
Steeds meer browsers bieden een ingebouwde wachtwoordmonitorfunctie aan. Google Chrome-gebruikers kunnen sinds kort de ‘Uitgebreide versie van Safe Browsing’-functie activeren. In de Microsoft Edge-instellingen kunnen gebruikers de ‘Scannen op gelekte wachtwoorden’-optie aanvinken, en Firefox heeft de wachtwoordbeheerder (een geïntegreerde versie van de Mozilla Monitor).
Het handige van deze ingebouwde features is dat je niet alleen een notificatie krijgt zodra je gegevens onderdeel zijn van een datalek, maar dat je ook meteen wordt gewaarschuwd als je diezelfde wachtwoorden vervolgens probeert te gebruiken om ergens in te loggen. Een nadeel is natuurlijk wel dat deze functies alleen werken voor de wachtwoorden die je in de browser in kwestie hebt opgeslagen.
