Nieuws
image

Google beveiligt opgeslagen wachtwoorden in Chrome

dinsdag 5 november 2013, 15:03 door Redactie, 4 reacties

Google kreeg in de zomer nog kritiek omdat het in Chrome opgeslagen wachtwoorden niet met een zogeheten hoofdwachtwoord beschermt, maar de zoekgigant lijkt nu toch maatregelen te nemen om opgeslagen wachtwoorden middels een hoofdwachtwoord te beschermen.

Webontwikkelaar Elliott Kember ontdekte begin augustus dat Google Chrome geen hoofdwachtwoord gebruikt. Opgeslagen wachtwoorden zijn direct zichtbaar voor iedereen die toegang tot de browser heeft. Volgens Kember zou Google dit duidelijker naar gebruikers toe moeten communiceren.

Hoofdwachtwoord

Google engineer Justin Schuh, tevens beveiligingschef van Google Chrome, stelde dat de ontwikkelaars bewust hadden gekozen om een hoofdwachtwoord achterwege te laten. De enige beveiliging van de opgeslagen wachtwoorden is het account van de gebruiker. "Zodra de aanvaller toegang tot je account heeft is het voorbij, omdat er gewoon teveel vectoren voor hem zijn om te krijgen wat hij wil", liet Schuh destijds weten.

In een nieuwe versie van Chromium voor Mac kunnen gebruikers "password-manager-reauthentication" instellen. Dit zorgt ervoor dat als ze de opgeslagen wachtwoorden willen zien, ze eerst het Mac OS-wachtwoord moeten invoeren, zo laat Google-werknemer François Beaufort via Google Plus weten. Chromium dienst als basis voor Google Chrome. Wanneer de wachtwoordfunctie naar Chrome komt en of die ook voor andere besturingssystemen beschikbaar wordt is nog onbekend.

Image

Reacties (4)
05-11-2013, 16:47 door Briolet - Bijgewerkt: 05-11-2013, 22:48
Op de Mac ligt het geheel nu toch iets gecompliceerder en het werkt nu ook niet goed. Chrome maakt gebruik van de wachtwoord manager van de mac zelf. Als je de sleutelhanger op slot zet, dan kan chrome nu ook de wachtwoorden niet zien maar moet je eerst je hoofdwachtwoord intikken als je de chrome optie "beheer wachtwoorden kiest" of als hij voor het eerst een wachtwoord wil invullen. Alleen de meesten zullen de sleutelhanger niet op slot zetten. (Je kunt op de mac instellen een sleutelhanger na een vaste tijd van inactiviteit of samen met de screensaver weer op slot te zetten)

Een probleem van chrome is dat hij toch niet goed met de wachtwoord manager van de mac overweg kan. Er wordt netjes om toestemming gevraagd en indien nodig moet ik ook een hoofdwachtwoord invullen. Maar het essentiële gaat mis: hij vult geen wachtwoorden in voor mij. Misschien omdat ik mijn internet wachtwoorden niet in de default sleutelhanger heb, maar in een extra gecreëerde sleutelhanger voor internet toegang? Laat ze dat probleem eerst maar oplossen.
05-11-2013, 19:09 door Anoniem
Wat betreft de afbeelding

Onder welk OS X is dit screenshot gemaakt? Mavericks?
Ik mis twee belangrijke elementen in het admin password window, "Details + pijltje", "Vraagteken button" linksonder.
Details pijltje geeft namelijk inzage in welke Mac applicatie dit window oproept.
Vraagteken opent Mac Help viewer application window

Is dit toevallig een (Fake Mac Admin) pop up venster van Chromium zelf?
Nee toch mag ik hopen.
05-11-2013, 23:13 door Briolet - Bijgewerkt: 05-11-2013, 23:17
Ik mis twee belangrijke elementen in het admin password window
Mij stoorde ook de account naam omdat deze niet gebruikelijk is in dat dialoog. De tekst "Chromium is trying to show passwords" zegt genoeg. Dit is niet het standaard window dat het OS presenteert, maar een eigen window dat Chromium creëert in de stijl van de systeem waarschuwing. Op de achtergrond zal Chromium zelf dan waarschijnlijk het wachtwoord naar de sleutelhanger sturen.

Heel wat meer ins en outs van de keychain vind je op:
https://developer.apple.com/library/mac/documentation/Security/Conceptual/keychainServConcepts/01introduction/introduction.html#//apple_ref/doc/uid/TP30000897-CH203-TP1
06-11-2013, 00:08 door Anoniem
Door Briolet:
Ik mis twee belangrijke elementen in het admin password window
Mij stoorde ook de account naam omdat deze niet gebruikelijk is in dat dialoog. De tekst "Chromium is trying to show passwords" zegt genoeg. Dit is niet het standaard window dat het OS presenteert, maar een eigen window dat Chromium creëert in de stijl van de systeem waarschuwing.

Vindt dit zeer kwalijk / slecht (doordacht?) idee.
Door het in variatie nabootsen van Mac OS X systeem meldingen maakt dat de weg vrij voor misbruik via social engineering.
Als anderen dit gaan navolgen, of eigenlijk is in de browser als melding al ernstig genoeg, laat je gebruikers wennen aan het feit dat er vanaf nu voor gebruikers moeilijk onderscheid is te maken aan OS X eigen systeemmeldingen en pop up meldingen door derden. Je kan erop wachten, en bedankt hoor.

Nou kan dat altijd nagebootst worden door elke handige webdesigner, alleen zolang het niet te vaak voorkomt vallen afwijkende meldingen nog op, als je eraan gewend bent niet meer.
Corrumpering van OS X vormgeving en (security) werking dus.

"Het zou verboden moeten worden!" ;-)

Googeltje Chromium (Gopple?) moet maar fijn (en snel svp!) aan een eigen aanvaardbare vormgeving werken van popup windows (en meer). Vormgeving, ja dat is een vak op zich, kwestie van investeren, en er gevoel voor hebben (een mooie account naam alleen helpt niets ;-) ).

Nog een goede reden om snel je Chroompje te verwisselen voor een Webkit of Mozilla georiënteerde browser.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search