Wachtwoord managers lekken Wachtwoorden

Waarom zou ik op die link klikken ?

Die link is gewoon een artikel van een nieuws site. Niks spannends. TS had dit beter via de news submit kunnen insturen.

Verder lees ik 1 gemene deler, het zijn alle online password managers. Waarvan ik dus al nooit begrepen heb dat mensen daarvoor kiezen. Doe maar een offline variant zoals Keepass.

Ik denk dat @MijnCommentaar er nog een of achter had bedoeld.

Ik gebruik geen browser extensie.

Maar elke password manager checkt toch het certificaat van de we site voordat die je gegevens invult?

Of gaat het puur om autofill van naam en niet om wachtwoord?

remco_k schreef op vrijdag 22 augustus 2025 @ 19:07:
Ik denk dat @MijnCommentaar er nog een of achter had bedoeld.

Sommige mensen begrijpen het

Dit lijkt me eerder een browserlek dan een lek van de wachtwoordmanager, immers de browser staat kennelijk toe dat een knop wordt verborgen achter een andere knop. Dan ben je dus sowieso al op een foute website die aan clickjacking doet, of je hebt een foute browserplugin geïnstalleerd. Mooi dat sommige wachtwoordmanagers daar maatregelen tegen nemen, maar de oorzaak ligt bij de browsers, niet bij de wachtwoordmanagers.

Als het allemaal zou erg zou zijn, waar is dan het advies van agconnect om "met enige regelmaat" in je password-manager te kijken of/wanneer je een password het laatste gebruikt of geraadpleegd hebt?

En ja, zal vast als onneembare horde worden afgedaan maar als je op een dag browsen enkel user+pass invult (en dus geen MFA), hoeveel zijn dat er per dag op het boze web? 2 per dag? 3? Dan kijk je toch einde dag of er andere raadplegingen gedaan zijn en voor welk account?

Zo gebruik ik bijvoorbeeld nu even de ingebouwde password-manager van Firefox. Kan je sorteren op last used. Als ik vandaag dan zie dat mijn bol-account geraadpleegd is terwijl ik geen SSO aan heb staan en niks besteld heb, moet er dan niet een belletje in je hoofd af gaan?

Voor een goede discussie misschien beter even het artikel van Marek Tóth lezen, in plaats van wat AG Connect schrijft over Bleeping Computer die schrijft over https://marektoth.com/blog/dom-based-extension-clickjacking/

Gewoon de autofill functionaliteit uitzetten in de browser extension zou voldoende moeten zijn, toch?

asaki schreef op zaterdag 30 augustus 2025 @ 09:13:
Gewoon de autofill functionaliteit uitzetten in de browser extension zou voldoende moeten zijn, toch?

Scroll even naar 'Recommendations for Users', er staan nog een aantal andere aanbevelingen.

M.u.v. de toegang tot de hele kluis, geldt hetzelfde risico toch voor copypaste of handmatig invullen als de overlay ligt over de werkelijke loginforms? Of als de loginforms zijn nagebouwd.

Auto-fill met exact URL match lijkt me dan juist veiliger.