Acties:
  • 0 Henk 'm!

  • cuflee
  • Registratie: Augustus 2017
  • Laatst online: 21-06 15:51
Beste Tweakers,

Ik heb zojuist de password manager DashLane geimporteerd en toen viel mij iets op. In het eerste scherm van de installatie zag DashLane netjes alle wachtwoorden die in mijn browsers waren opgeslagen, voor elke site, met de optie deze wachtwoorden te importeren in DashLane.

Ik heb voor die import nergens een wachtwoord op hoeven te geven. Met een druk op de knop stonden al die credentials netjes in DashLane.

In Chrome kan je naar chrome://settings/passwords gaan en dan per site al het wachtwoord laten tonen. Chrome vraagt dan als beveiliging nog wel om je windows password..., maar blijkbaar kan DashLane daar dus ook omheen.

Dat doet mij dus vermoeden dat browsers het daadwerkelijke wachtwoord (en dus niet een hash variant) ergens unencrypted opslaan, of in elk geval op zo'n manier dat het voor een applicatie als DashLane al zeer simpel is om deze te achterhalen.

Niet alleen de Internet Explorer wachtwoorden, ook vanuit Chrome wist deze ze zo te importeren. Weet iemand hoe dit technisch zit? Dit lijkt mij toch een behoorlijk veiligheids risico. Als dit inderdaad zo is dan zouden we het opslaan van wachtwoorden door browsers eigenlijk in een policy uit moeten zetten en/of aangeven dat dit alleen via een password manager beheerd kan worden.

Weet iemand ook of een password manager dit issue oplost? Als een browser extensie de wachtwoorden gaat beheren, gaat het dan helemaal buiten het browser wachtwoord beheer om en is dit "lek" daarmee dan geen issue meer?

Acties:
  • 0 Henk 'm!

  • TERW_DAN
  • Registratie: Juni 2001
  • Niet online

TERW_DAN

Met een hamer past alles.

Ik weet dat vroeger de wachtwoorden in firefox gewoon plaintext opgeslagen zijn. In Chrome lijkt het niet veel beter te gebeuren, want met 2 kliks kun je (na het invullen van een wachtwoord) die dingen ook in plaintext zien. Dus ik heb sterk mijn twijfel of daar nog iets van encryptie overheengaat. Zeker als andere tools die ook zo kunnen uitlezen.

Dus sla geen wachtwoorden op in je browser. Laat dat lekker door je passwordmanager doen. Dan regelt die dat, en niet je browser. Vergeet ook niet alles uit je browser weg te gooien.

Acties:
  • 0 Henk 'm!

  • Reptile209
  • Registratie: Juni 2001
  • Laatst online: 08:55

Reptile209

- gers -

Een tikkie gedateerd, maar ik denk dat het nog steeds klopt. Chrome slaat je wachtwoorden versleuteld op op basis van je (Windows) logon. Zie bijvoorbeeld dit draadje. Kleine quote daaruit:
Chrome (under Windows) actually does encrypt the passwords when stored. But it does it in a way that only someone knowing your login password (or hijacking your login session) can actually use or view the stored passwords. This is well-documented (it uses the so-called Data Protection API (DPAPI), which is in Windows from NT 5.0 (i.e. Windows 2000) onwards, which nowadays uses AES-256 to encrypt the password data). Google believes that this is enough security, because it has the same level of protection as your whole login. On the Mac or Linux they use the native keychain technology to protect a special Chrome master password, achieving the same effect, essentially. Read the sources for all the details...

Edge and IE (available on Windows only of course) also use this technology, BTW, under a wrapper called the Credential Store, in recent versions of Windows (and before that they used DPAPI data stored in the registry).
Dus alleen iemand die toegang heeft tot jouw login in je OS heeft toegang tot je wachtwoorden.

Zo scherp als een voetbal!


Acties:
  • 0 Henk 'm!

  • wodkabuikje
  • Registratie: Maart 2005
  • Laatst online: 07:30
Grappig. Ik wilde vertellen dat ik altijd zonder invullen van een wachtwoord de wachtwoorden kon zien.

Ik heb echter, vanwege een probleem met een netwerkprinter, ingesteld dat er een wachtwoord moet worden ingevuld bij het opstarten van de pc en nu wordt er wel om een wachtwoord gevraagd als ik de wachtwoorden wil zien in Chrome.

Als je dus geen wachtwoord hebt ingesteld dan kan je ze gewoon direct zien.

niet iedereen heeft een bierbuikje