• cuflee
  • Registratie: augustus 2017
  • Laatst online: 10-08-2020
Beste Tweakers,

Ik heb zojuist de password manager DashLane geimporteerd en toen viel mij iets op. In het eerste scherm van de installatie zag DashLane netjes alle wachtwoorden die in mijn browsers waren opgeslagen, voor elke site, met de optie deze wachtwoorden te importeren in DashLane.

Ik heb voor die import nergens een wachtwoord op hoeven te geven. Met een druk op de knop stonden al die credentials netjes in DashLane.

In Chrome kan je naar chrome://settings/passwords gaan en dan per site al het wachtwoord laten tonen. Chrome vraagt dan als beveiliging nog wel om je windows password..., maar blijkbaar kan DashLane daar dus ook omheen.

Dat doet mij dus vermoeden dat browsers het daadwerkelijke wachtwoord (en dus niet een hash variant) ergens unencrypted opslaan, of in elk geval op zo'n manier dat het voor een applicatie als DashLane al zeer simpel is om deze te achterhalen.

Niet alleen de Internet Explorer wachtwoorden, ook vanuit Chrome wist deze ze zo te importeren. Weet iemand hoe dit technisch zit? Dit lijkt mij toch een behoorlijk veiligheids risico. Als dit inderdaad zo is dan zouden we het opslaan van wachtwoorden door browsers eigenlijk in een policy uit moeten zetten en/of aangeven dat dit alleen via een password manager beheerd kan worden.

Weet iemand ook of een password manager dit issue oplost? Als een browser extensie de wachtwoorden gaat beheren, gaat het dan helemaal buiten het browser wachtwoord beheer om en is dit "lek" daarmee dan geen issue meer?

  • TERW_DAN
  • Registratie: juni 2001
  • Niet online

TERW_DAN

Met een hamer past alles.

Ik weet dat vroeger de wachtwoorden in firefox gewoon plaintext opgeslagen zijn. In Chrome lijkt het niet veel beter te gebeuren, want met 2 kliks kun je (na het invullen van een wachtwoord) die dingen ook in plaintext zien. Dus ik heb sterk mijn twijfel of daar nog iets van encryptie overheengaat. Zeker als andere tools die ook zo kunnen uitlezen.

Dus sla geen wachtwoorden op in je browser. Laat dat lekker door je passwordmanager doen. Dan regelt die dat, en niet je browser. Vergeet ook niet alles uit je browser weg te gooien.

30" monitor te koop


  • Reptile209
  • Registratie: juni 2001
  • Laatst online: 12:06

Reptile209

- gers -

Een tikkie gedateerd, maar ik denk dat het nog steeds klopt. Chrome slaat je wachtwoorden versleuteld op op basis van je (Windows) logon. Zie bijvoorbeeld dit draadje. Kleine quote daaruit:
Chrome (under Windows) actually does encrypt the passwords when stored. But it does it in a way that only someone knowing your login password (or hijacking your login session) can actually use or view the stored passwords. This is well-documented (it uses the so-called Data Protection API (DPAPI), which is in Windows from NT 5.0 (i.e. Windows 2000) onwards, which nowadays uses AES-256 to encrypt the password data). Google believes that this is enough security, because it has the same level of protection as your whole login. On the Mac or Linux they use the native keychain technology to protect a special Chrome master password, achieving the same effect, essentially. Read the sources for all the details...

Edge and IE (available on Windows only of course) also use this technology, BTW, under a wrapper called the Credential Store, in recent versions of Windows (and before that they used DPAPI data stored in the registry).
Dus alleen iemand die toegang heeft tot jouw login in je OS heeft toegang tot je wachtwoorden.

If you're not part of the solution, you're part of the precipitate.


  • wodkabuikje
  • Registratie: maart 2005
  • Laatst online: 06:29
Grappig. Ik wilde vertellen dat ik altijd zonder invullen van een wachtwoord de wachtwoorden kon zien.

Ik heb echter, vanwege een probleem met een netwerkprinter, ingesteld dat er een wachtwoord moet worden ingevuld bij het opstarten van de pc en nu wordt er wel om een wachtwoord gevraagd als ik de wachtwoorden wil zien in Chrome.

Als je dus geen wachtwoord hebt ingesteld dan kan je ze gewoon direct zien.

niet iedereen heeft een bierbuikje



Nintendo Switch (OLED model) Apple iPhone 13 LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S21 5G Apple iPad Pro (2021) 11" Wi-Fi, 8GB ram Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True

Tweakers maakt gebruik van cookies

Bij het bezoeken van het forum plaatst Tweakers alleen functionele en analytische cookies voor optimalisatie en analyse om de website-ervaring te verbeteren. Op het forum worden geen trackingcookies geplaatst. Voor het bekijken van video's en grafieken van derden vragen we je toestemming, we gebruiken daarvoor externe tooling die mogelijk cookies kunnen plaatsen.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Forum cookie-instellingen

Bekijk de onderstaande instellingen en maak je keuze. Meer informatie vind je in ons cookiebeleid.

Functionele en analytische cookies

Deze cookies helpen de website zijn functies uit te voeren en zijn verplicht. Meer details

janee

    Cookies van derden

    Deze cookies kunnen geplaatst worden door derde partijen via ingesloten content en om de gebruikerservaring van de website te verbeteren. Meer details

    janee