Nieuws
image

Russen "kraken" Firefox en Chrome wachtwoorden

vrijdag 12 november 2010, 11:40 door Redactie, 8 reacties

Het Russische ElcomSoft heeft een nieuwe versie van de "Internet Password Breaker" uitgebracht, waarmee opgeslagen wachtwoorden in Mozilla Firefox, Apple Safari, Google Chrome en Opera direct zijn te achterhalen. De tool ondersteunde al Internet Explorer. Nu Microsofts browser de markt niet meer domineert, zag de Russische ontwikkelaar zich genoodzaakt om ook andere browsers toe te voegen.

"Het was eenvoudig om de wachtwoordopslag van deze browsers te kraken", zegt Andy Malyshev. "Vergeleken met alle moeite die we hadden om de protected storage van Internet Explorer 8 te kraken, waren deze een eitje." Het beveiligingsmodel van Internet Explorer 7 en 8 versleutelt alle informatie met de URL van de website. "Het is bijna onmogelijk om toegang tot de wachtwoordgegevens te krijgen zonder het exacte adres te weten waar die bijhoort." De andere browsers voeren geen "trucs" uit, waardoor de "kraak een ontspannen oefening" was, aldus ElcomSoft.

Het bedrijf merkt op dat als er voor Firefox een "master password" is ingesteld, die eerst verkregen moet worden voordat men de opslagen wachtwoorden kan bemachtigen. Voor wie het master password wil kraken heeft het Russische bedrijf een Distributed Password Recovery tool, die het wachtwoord kan brute-forcen.

Reacties (8)
12-11-2010, 13:40 door Anoniem
k kan iedereen het gebruik van de multiplatform cloud tool lastpass aanraden (lastpass.com). Met gebruik van die tool onthoudt je slechts het toegangswachtwoord tot de tool. Ik heb voor al mijn accounts 16 cijferige wachtwoord codes die automatisch gegeneerd zijn door de tool en die ik niet eens weet. De tool integreert binnen de meest bekende browsers en werkt ook met iphones, ipad, blackberry's etc. Het voordeel is dat wachtwoorden niet meer lokaal worden opgeslagen waardoor ze via tools als pspv achterhaald kunnen worden. In geval het internet niet meer werkt kun je altijd een volledig versleutelde versie van het wachtwoordbestand opslaan. Ik kan eigenlijk geen zwakheden ontdekken in deze tool en het concept is echt goed doordacht. Het argument dat hierboven wordt beschreven "Het nadeel van het wijzigen van wachtwoorden is dat het ze lastiger te onthouden maakt." is met deze tool helemaal niet aan de orde.
12-11-2010, 14:50 door wizzkizz
@ Anoniem 13:40

Al je wachtwoorden "in de cloud" opslaan vind ik helemaal niets, omdat je er dan geen controle over hebt (ook al is het bestand waarschijnlijk versleuteld). Zelf gebruik ik KeePass, dat ook op vrijwel alle devices en operating systems gebruikt kan worden.
12-11-2010, 17:23 door Anoniem
Waarom staat kraken hier tussen aanhalingstekens? Is het nou wel waar of is het niet waar? Of vindt de redactie het niet leuk dat het door hen geknuffelde Google weer eens negatief in beeld komt?
12-11-2010, 23:10 door cyberpunk
Voor wie het master password wil kraken heeft het Russische bedrijf een Distributed Password Recovery tool, die het wachtwoord kan brute-forcen.

Brute-forcen? Ik wens ze veel geluk; ik heb een Master Password van 13 karakters. Hoofd- en kleine letters, cijfers en ook "ongewone" karakters.
13-11-2010, 09:00 door Anoniem
En als je in Opera een master password instelt, moet je die ook meeleveren. In feite is de IE7/IE8 manier minder veilig, tenzij je altijd je geschiedenis goed wist.
14-11-2010, 21:05 door Anoniem
13 karakters? Dat kan al lang gekraakt worden op een NVidia-kaart.
Tegenwoordig moet je dacht ik toch al zo'n 16 karakters gebruiken wil 't te lang duren om te bruteforcen.
15-11-2010, 12:24 door cyberpunk
Door Anoniem: 13 karakters? Dat kan al lang gekraakt worden op een NVidia-kaart.
Tegenwoordig moet je dacht ik toch al zo'n 16 karakters gebruiken wil 't te lang duren om te bruteforcen.

Bron(nen) ?

Hier staat anders iets anders:
http://www.lockdown.co.uk/?pg=combi

96 characters

Mixed Alpha, Numerals & Symbols
0123456789AaBbCcDdEeFfGgHhIiJjKkLlMmNnOoPpQqRrSsTtUuVvWwXxYyZz <SP>!"#$%&'()*+,-./:;<=>?@[\]^_`{|}~

Dit is hoe mijn wachtwoord van 13 karakters is samengesteld; hoofd- en kleine letters, cijfers en symbolen. Bekijk de tabel maar eens even. Met 8 (! ik heb er 13) karakters zijn er al "7.2 Quadrillion combinations" en met de snelste computer, een supercomputer (Class F; 1,000,000,000 Passwords/sec) duurt het 83½ dagen om het te kraken.

Het artikel is wel geschreven op 9 juli 2009. Volgens jou is er intussen dus al zoveel gebeurd dat je een 13 karakter tellend wachtwoord (hoofd- en kleine letters, cijfers en symbolen) makkelijk (? Wat is dat; "makkelijk"? 2 uurtjes? 1 dag?) kan kraken met een NVIDIA-kaartje? :-o

BTW volgens deze twee heb ik nog altijd een sterk wachtwoord:

https://www.microsoft.com/protect/fraud/passwords/checker.aspx?WT.mc_id=Site_Link
(3 groene streepjes, "strong")

http://www.passwordmeter.com/
(100% Very Strong)
17-11-2010, 02:09 door dsm314
Iedereen moet gewoon 1Password aanschaffen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure