image

Google: hoofdwachtwoord geeft vals gevoel van veiligheid

woensdag 7 augustus 2013, 10:45 door Redactie, 4 reacties

Google Chrome gebruikt geen hoofdwachtwoord om in de browser opgeslagen wachtwoorden te beschermen, omdat dit gebruikers een vals gevoel van veiligheid geeft. Browsers zoals Firefox geven gebruikers de mogelijkheid om opgeslagen wachtwoorden via een 'master password' te beschermen, in het Nederlands een hoofdwachtwoord genoemd. Iemand die toegang tot de browser heeft kan daardoor niet meteen alle opgeslagen wachtwoorden zien.

Webontwikkelaar Elliott Kember ontdekte dat Google Chrome geen hoofdwachtwoord gebruikt. Opgeslagen wachtwoorden zijn direct zichtbaar voor iedereen die toegang tot de browser heeft. Volgens Kember zou Google dit duidelijker naar gebruikers toe moeten communiceren. "Elke dag slaan miljoenen gebruikers hun wachtwoorden op in Chrome, dit is niet oké", aldus Kember.

Theater

Google engineer Justin Schuh, tevens beveiligingschef van Google Chrome, verklaart op Hacker News waarom de ontwikkelaars bewust hebben gekozen om een hoofdwachtwoord achterwege te laten. De enige beveiliging van de opgeslagen wachtwoorden is het account van de gebruiker. Chrome gebruikt de versleutelde opslag die door het besturingssysteem wordt geboden om wachtwoorden te beschermen. Alle overige beveiligingsmaatregelen worden door Schuh "theater" genoemd.

Een aanvaller die toegang tot het account krijgt kan alle sessiecookies van de gebruiker dumpen, zijn cookies en surfgeschiedenis stelen, maar ook bijvoorbeeld kwaadaardige extensies installeren om alle surfactiviteiten te onderscheppen. Ook kan de aanvaller monitoringsoftware op het account installeren.

Vals gevoel van veiligheid

"Zodra de aanvaller toegang tot je account heeft is het voorbij, omdat er gewoon teveel vectoren voor hem zijn om te krijgen wat hij wil", merkt Schuh op. De Google-ontwikkelaars zouden regelmatig hebben afgevraagd of ze geen hoofdwachtwoord moesten implementeren. "Zelfs als we denken dat het niet werkt", gaat Schuh verder. Uiteindelijk kwamen de ontwikkelaars altijd tot de conclusie dat het gebruikers een "vals gevoel van veiligheid geeft" en risicovol gedrag aanmoedigt.

Eerder werd er al naar de veiligheid van opgeslagen wachtwoorden gekeken. Toen bleek dat Google Chrome en Internet Explorer de minste weerstand tegen een aanvaller bieden. Het master password van Firefox zou echter lastig te kraken zijn als de gebruiker een sterk wachtwoord kiest.

Reacties (4)
07-08-2013, 23:54 door Pastafarist
Dit klinkt als 'het heeft geen zin om een slot te plaatsen in de huisdeur want dat geeft en vals gevoel van veiligheid: men kan toch simpel een ruit ingooien om binnen te komen'.

Ben het niet met Google eens, als je iets kunt doen om de drempel te verhogen lijkt me dat goed.
08-08-2013, 08:51 door Acumen
Door Davide: Dit klinkt als 'het heeft geen zin om een slot te plaatsen in de huisdeur want dat geeft en vals gevoel van veiligheid: men kan toch simpel een ruit ingooien om binnen te komen'.

Ben het niet met Google eens, als je iets kunt doen om de drempel te verhogen lijkt me dat goed.
Mijn idee.
Een aanvaller die toegang tot het account krijgt kan alle sessiecookies van de gebruiker dumpen, zijn cookies en surfgeschiedenis stelen, maar ook bijvoorbeeld kwaadaardige extensies installeren om alle surfactiviteiten te onderscheppen. Ook kan de aanvaller monitoringsoftware op het account installeren.
Sessie cookies en andere browser/surf gerelateerde gegevens kun je verder natuurlijk automatisch te wissen (als je al niet InPrivate werkt). Een aanvullende security feature zou kunnen zijn om het installeren van extenties via hetzelfde Master Password te laten verlopen ;-)
Ook kan de aanvaller monitoringsoftware op het account installeren.
Het instellen van de juiste User-rights zouden hierin een prima oplossing kunnen bieden.

Zomaar een complotje, maar zou Google er baat bij hebben dat er geen Master Password op de gegevens zit ?
08-08-2013, 10:07 door Briolet
Dat is een beetje kortzichtig van Google, alsof er alleen aanvallen vanaf het internet komen. Hoe vaak gebeurt het niet dat je met vrienden iets opzoekt op het internet en dan hen de tekst laat lezen terwijl je zelf even wegloopt. Ook in die gevallen wil je niet dat je vrienden direct met een paar klikken al je wachtwoorden kunnen zien.

Firefox heeft hetzelfde probleem als je geen hoofdwachtwoord instelt. Daarom geef ik de voorkeur aan Safari. Daar heb je standaard nooit toegang tot de wachtwoorden zonder dat je een account of sleutelhanger wachtwoord opgeeft.
18-08-2013, 17:35 door Briolet
Ik ben geen Chrome gebruiker, maar merkte net dat dit probleem niet bij de Mac versie van Chrome optreed. Daar slaat Chrome in het geheel geen wachtwoorden op, maar vraagt het Systeem om ze in de systeem sleutelhanger op te slaan.
Dus als je het wachtwoord al via Safari opgeslagen hebt, kun je ook Chroom toestemming geven dit wachtwoord te gebruiken.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.