Hoe Safe je wachtwoorden beschermt

Safe gebruikt end-to-end-encryptie — je wachtwoorden worden versleuteld op je apparaat voordat ze het apparaat verlaten. Niemand anders kan ze lezen: wij niet, je cloudprovider niet, en niemand die de gegevens onderweg onderschept.

Je hoofdwachtwoord is de sleutel

Wanneer je een hoofdwachtwoord aanmaakt, gebruikt Safe het om een versleutelingssleutel af te leiden. Deze sleutel versleutelt je volledige database met AES-256, dezelfde standaard die banken en overheden wereldwijd gebruiken. Het versleutelde databasebestand is opgeslagen op je apparaat — zelfs als iemand fysieke toegang krijgt tot je telefoon of computer, kan hij niets lezen zonder je hoofdwachtwoord.

Je hoofdwachtwoord verlaat je apparaat nooit. Safe stuurt het niet naar een server, slaat het nergens op en heeft geen manier om het te herstellen. Dit is bewust zo — zelfs als iemand in onze systemen zou inbreken, is er niets nuttigs te stelen.

Je cloudkopie is onleesbaar zonder je wachtwoord

Wanneer je versleutelde database is opgeslagen in Google Drive, Dropbox of een andere cloudprovider, ziet het eruit als een blok willekeurige bytes — volledig onleesbaar zonder je hoofdwachtwoord. Dit wordt soms "zero-knowledge"-encryptie genoemd.

De cloudprovider slaat alleen het versleutelde bestand op. Ze hebben geen manier om het te ontsleutelen. Zelfs als je Google-account wordt gecompromitteerd, krijgt de aanvaller een versleutelde blob die hij niet kan openen.

Biometrisch ontgrendelen (Face ID, vingerafdruk)

Biometrie ontgrendelt de app, maar vervangt je hoofdwachtwoord niet. Wanneer je Face ID of vingerafdrukontgrendeling inschakelt, wordt je hoofdwachtwoord veilig opgeslagen in de hardwarebeveiligingschip van het apparaat (iOS Keychain / Android Keystore). De biometrische scan geeft het vrij — maar het hoofdwachtwoord doet de daadwerkelijke ontsleuteling.

Dit betekent dat biometrisch ontgrendelen net zo veilig is als de hardwarebeveiliging van je apparaat.