vrijdag 23 augustus 2019 09:48

Acties:
  • 0Henk 'm!
  • cuflee
  • Registratie: Augustus 2017
  • Laatst online: 22-11 18:14

cuflee

Topicstarter
Beste Tweakers,

Ik heb zojuist de password manager DashLane geimporteerd en toen viel mij iets op. In het eerste scherm van de installatie zag DashLane netjes alle wachtwoorden die in mijn browsers waren opgeslagen, voor elke site, met de optie deze wachtwoorden te importeren in DashLane.

Ik heb voor die import nergens een wachtwoord op hoeven te geven. Met een druk op de knop stonden al die credentials netjes in DashLane.

In Chrome kan je naar chrome://settings/passwords gaan en dan per site al het wachtwoord laten tonen. Chrome vraagt dan als beveiliging nog wel om je windows password..., maar blijkbaar kan DashLane daar dus ook omheen.

Dat doet mij dus vermoeden dat browsers het daadwerkelijke wachtwoord (en dus niet een hash variant) ergens unencrypted opslaan, of in elk geval op zo'n manier dat het voor een applicatie als DashLane al zeer simpel is om deze te achterhalen.

Niet alleen de Internet Explorer wachtwoorden, ook vanuit Chrome wist deze ze zo te importeren. Weet iemand hoe dit technisch zit? Dit lijkt mij toch een behoorlijk veiligheids risico. Als dit inderdaad zo is dan zouden we het opslaan van wachtwoorden door browsers eigenlijk in een policy uit moeten zetten en/of aangeven dat dit alleen via een password manager beheerd kan worden.

Weet iemand ook of een password manager dit issue oplost? Als een browser extensie de wachtwoorden gaat beheren, gaat het dan helemaal buiten het browser wachtwoord beheer om en is dit "lek" daarmee dan geen issue meer?

vrijdag 23 augustus 2019 09:54

Acties:
  • 0Henk 'm!
  • TERW_DAN
  • Registratie: Juni 2001
  • Niet online

TERW_DAN

Met een hamer past alles.

Ik weet dat vroeger de wachtwoorden in firefox gewoon plaintext opgeslagen zijn. In Chrome lijkt het niet veel beter te gebeuren, want met 2 kliks kun je (na het invullen van een wachtwoord) die dingen ook in plaintext zien. Dus ik heb sterk mijn twijfel of daar nog iets van encryptie overheengaat. Zeker als andere tools die ook zo kunnen uitlezen.

Dus sla geen wachtwoorden op in je browser. Laat dat lekker door je passwordmanager doen. Dan regelt die dat, en niet je browser. Vergeet ook niet alles uit je browser weg te gooien.

vrijdag 23 augustus 2019 09:58

Acties:
  • 0Henk 'm!
  • Reptile209
  • Registratie: Juni 2001
  • Laatst online: 19:47

Reptile209

- gers -

Een tikkie gedateerd, maar ik denk dat het nog steeds klopt. Chrome slaat je wachtwoorden versleuteld op op basis van je (Windows) logon. Zie bijvoorbeeld dit draadje. Kleine quote daaruit:
Chrome (under Windows) actually does encrypt the passwords when stored. But it does it in a way that only someone knowing your login password (or hijacking your login session) can actually use or view the stored passwords. This is well-documented (it uses the so-called Data Protection API (DPAPI), which is in Windows from NT 5.0 (i.e. Windows 2000) onwards, which nowadays uses AES-256 to encrypt the password data). Google believes that this is enough security, because it has the same level of protection as your whole login. On the Mac or Linux they use the native keychain technology to protect a special Chrome master password, achieving the same effect, essentially. Read the sources for all the details...

Edge and IE (available on Windows only of course) also use this technology, BTW, under a wrapper called the Credential Store, in recent versions of Windows (and before that they used DPAPI data stored in the registry).
Dus alleen iemand die toegang heeft tot jouw login in je OS heeft toegang tot je wachtwoorden.

Ik verafschuw wat u zegt, maar ik zal uw recht om het te zeggen met mijn leven verdedigen. - Voltaire

vrijdag 23 augustus 2019 09:58

Acties:
  • 0Henk 'm!
  • wodkabuikje
  • Registratie: Maart 2005
  • Laatst online: 21:41

wodkabuikje

Grappig. Ik wilde vertellen dat ik altijd zonder invullen van een wachtwoord de wachtwoorden kon zien.

Ik heb echter, vanwege een probleem met een netwerkprinter, ingesteld dat er een wachtwoord moet worden ingevuld bij het opstarten van de pc en nu wordt er wel om een wachtwoord gevraagd als ik de wachtwoorden wil zien in Chrome.

Als je dus geen wachtwoord hebt ingesteld dan kan je ze gewoon direct zien.

niet iedereen heeft een bierbuikje

Reageer

Google Pixel 7 Sony WH-1000XM5 Apple iPhone 14 Samsung Galaxy Watch5, 44mm Sonic Frontiers Samsung Galaxy Z Fold4 Insta360 X3 Nintendo Switch Lite

Tweakers is samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer onderdeel van DPG Media B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee