Beste Tweakers,
Ik heb zojuist de password manager DashLane geimporteerd en toen viel mij iets op. In het eerste scherm van de installatie zag DashLane netjes alle wachtwoorden die in mijn browsers waren opgeslagen, voor elke site, met de optie deze wachtwoorden te importeren in DashLane.
Ik heb voor die import nergens een wachtwoord op hoeven te geven. Met een druk op de knop stonden al die credentials netjes in DashLane.
In Chrome kan je naar chrome://settings/passwords gaan en dan per site al het wachtwoord laten tonen. Chrome vraagt dan als beveiliging nog wel om je windows password..., maar blijkbaar kan DashLane daar dus ook omheen.
Dat doet mij dus vermoeden dat browsers het daadwerkelijke wachtwoord (en dus niet een hash variant) ergens unencrypted opslaan, of in elk geval op zo'n manier dat het voor een applicatie als DashLane al zeer simpel is om deze te achterhalen.
Niet alleen de Internet Explorer wachtwoorden, ook vanuit Chrome wist deze ze zo te importeren. Weet iemand hoe dit technisch zit? Dit lijkt mij toch een behoorlijk veiligheids risico. Als dit inderdaad zo is dan zouden we het opslaan van wachtwoorden door browsers eigenlijk in een policy uit moeten zetten en/of aangeven dat dit alleen via een password manager beheerd kan worden.
Weet iemand ook of een password manager dit issue oplost? Als een browser extensie de wachtwoorden gaat beheren, gaat het dan helemaal buiten het browser wachtwoord beheer om en is dit "lek" daarmee dan geen issue meer?
Ik heb zojuist de password manager DashLane geimporteerd en toen viel mij iets op. In het eerste scherm van de installatie zag DashLane netjes alle wachtwoorden die in mijn browsers waren opgeslagen, voor elke site, met de optie deze wachtwoorden te importeren in DashLane.
Ik heb voor die import nergens een wachtwoord op hoeven te geven. Met een druk op de knop stonden al die credentials netjes in DashLane.
In Chrome kan je naar chrome://settings/passwords gaan en dan per site al het wachtwoord laten tonen. Chrome vraagt dan als beveiliging nog wel om je windows password..., maar blijkbaar kan DashLane daar dus ook omheen.
Dat doet mij dus vermoeden dat browsers het daadwerkelijke wachtwoord (en dus niet een hash variant) ergens unencrypted opslaan, of in elk geval op zo'n manier dat het voor een applicatie als DashLane al zeer simpel is om deze te achterhalen.
Niet alleen de Internet Explorer wachtwoorden, ook vanuit Chrome wist deze ze zo te importeren. Weet iemand hoe dit technisch zit? Dit lijkt mij toch een behoorlijk veiligheids risico. Als dit inderdaad zo is dan zouden we het opslaan van wachtwoorden door browsers eigenlijk in een policy uit moeten zetten en/of aangeven dat dit alleen via een password manager beheerd kan worden.
Weet iemand ook of een password manager dit issue oplost? Als een browser extensie de wachtwoorden gaat beheren, gaat het dan helemaal buiten het browser wachtwoord beheer om en is dit "lek" daarmee dan geen issue meer?