Google Chrome gebruikt geen hoofdwachtwoord om in de browser opgeslagen wachtwoorden te beschermen, omdat dit gebruikers een vals gevoel van veiligheid geeft. Browsers zoals Firefox geven gebruikers de mogelijkheid om opgeslagen wachtwoorden via een 'master password' te beschermen, in het Nederlands een hoofdwachtwoord genoemd. Iemand die toegang tot de browser heeft kan daardoor niet meteen alle opgeslagen wachtwoorden zien.
Webontwikkelaar Elliott Kember ontdekte dat Google Chrome geen hoofdwachtwoord gebruikt. Opgeslagen wachtwoorden zijn direct zichtbaar voor iedereen die toegang tot de browser heeft. Volgens Kember zou Google dit duidelijker naar gebruikers toe moeten communiceren. "Elke dag slaan miljoenen gebruikers hun wachtwoorden op in Chrome, dit is niet oké", aldus Kember.
Google engineer Justin Schuh, tevens beveiligingschef van Google Chrome, verklaart op Hacker News waarom de ontwikkelaars bewust hebben gekozen om een hoofdwachtwoord achterwege te laten. De enige beveiliging van de opgeslagen wachtwoorden is het account van de gebruiker. Chrome gebruikt de versleutelde opslag die door het besturingssysteem wordt geboden om wachtwoorden te beschermen. Alle overige beveiligingsmaatregelen worden door Schuh "theater" genoemd.
Een aanvaller die toegang tot het account krijgt kan alle sessiecookies van de gebruiker dumpen, zijn cookies en surfgeschiedenis stelen, maar ook bijvoorbeeld kwaadaardige extensies installeren om alle surfactiviteiten te onderscheppen. Ook kan de aanvaller monitoringsoftware op het account installeren.
"Zodra de aanvaller toegang tot je account heeft is het voorbij, omdat er gewoon teveel vectoren voor hem zijn om te krijgen wat hij wil", merkt Schuh op. De Google-ontwikkelaars zouden regelmatig hebben afgevraagd of ze geen hoofdwachtwoord moesten implementeren. "Zelfs als we denken dat het niet werkt", gaat Schuh verder. Uiteindelijk kwamen de ontwikkelaars altijd tot de conclusie dat het gebruikers een "vals gevoel van veiligheid geeft" en risicovol gedrag aanmoedigt.
Eerder werd er al naar de veiligheid van opgeslagen wachtwoorden gekeken. Toen bleek dat Google Chrome en Internet Explorer de minste weerstand tegen een aanvaller bieden. Het master password van Firefox zou echter lastig te kraken zijn als de gebruiker een sterk wachtwoord kiest.
Deze posting is gelocked. Reageren is niet meer mogelijk.