Privacy
- Wat niemand over je mag weten
Firefox/Chrome wachtwoord onthouden functie
25-10-2014, 21:05 door Anoniem, 5 reacties
Na het inloggen bijvoorbeeld bij Facebook vraagt Firefox en andere browsers om je wachtwoord voor de volgende keer te onthouden. Als ik hier niet op in gaat en heel deze vraag negeer dan blijft Firefox de deze wachtwoord alsnog onthouden tot ik mijn beslissing genomen hebt. Wat als er een kwaadaardige virus of een cracker door middel van een exploit mijn browser overneemt heeft hij in die tijd mijn "tijdelijke" wachtwoord kunnen bemachtigen. Word deze "tijdelijke" wachtwoord in clear tekst opgeslagen of eerst beveiligd?
Reacties (5)
Door Anoniem: Na het inloggen bijvoorbeeld bij Facebook vraagt Firefox en andere browsers om je wachtwoord voor de volgende keer te onthouden. Als ik hier niet op in gaat en heel deze vraag negeer dan blijft Firefox de deze wachtwoord alsnog onthouden tot ik mijn beslissing genomen hebt. Wat als er een kwaadaardige virus of een cracker door middel van een exploit mijn browser overneemt heeft hij in die tijd mijn "tijdelijke" wachtwoord kunnen bemachtigen. Word deze "tijdelijke" wachtwoord in clear tekst opgeslagen of eerst beveiligd?
Alleen als je een Master password gebruikt worden je wachtwoorden ge-encrypt, anders in cleartext opgeslagen. Hoe dit met tijdelijke dingen zit weet ik niet, maar waarschijnlijk hetzelfde. Als je naar Opties -> Beveiliging gaat kan je het onthouden uitzetten.Door Anoniem: Wat als er een kwaadaardige virus of een cracker door middel van een exploit mijn browser overneemt heeft hij in die tijd mijn "tijdelijke" wachtwoord kunnen bemachtigen. Word deze "tijdelijke" wachtwoord in clear tekst opgeslagen of eerst beveiligd?
Als er malware op je systeem staat is geen enkel wachtwoord nog veilig.Voorkomen is dus het devies, maar als je niet weet wat malware is & hoe het werkt (virussen bestaan bijna niet meer, exploits zelf zijn geen malware en software-cracks moet je sowieso vermijden als eindgebruiker) is het ook niet mogelijk om je daar effectief tegen te beschermen natuurlijk...
Er zijn wel lijstjes voor;
Géén Admin-accounts gebruiken -> OS+browser-instellingen -> Software en firmware (!!!) updaten -> AV -> applicaties en (browser-)extensies -> etc. maar de meeste malware wordt verspreid via social engeneering en daar is geen protocol tegen opgewassen.
Om antwoord te geven op je vraag:
Je zou een wachtwoordkluis kunnen overwegen http://keepass.info/ en FF zo in kunnen stellen dat het nooit wachtwoorden onthoudt (Google weet hoe).
Maar ook dat is géén 100% garantie, er is namelijk malware die al je toetsaanslagen opslaat, zichzelf in een browser injecteert, tijdelijke OS-data kan analyseren, netwerk-verkeer 'afluistert,' etc. etc.
NB: Niet om het één of ander, maar zou je je niet meer zorgen maken over privacy en internetbankieren bijvoorbeeld, dan over het wachtwoord van je fakeboek-account?
Mijn vraag is: waarom zou je wachten om die dialog box over het opslaan van je wachtwoord te beantwoorden?
En wil je die dialog box liever niet, dan kun je het ook uitzetten voordat je een website bezoekt.
(dan hoeft niemand zijn leven te besteden aan het uitzoeken van dergelijke vragen,
die uiteindelijk toch maar hééél beperkt antwoord geven op de vraag of een wachtwoord kan worden
gekaapt of niet. Want er zijn ook nog andere methoden om dit te doen, zoals met een keylogger...)
Daarom laat ik het bij een vermoeden:
voor de hand ligt, dat het wachtwoord zich gedurende die tijd in clear text in RAM (werkgeheugen, cache) bevindt.
Theoretisch is niets onmogelijk, maar het lijkt me erg moeilijk voor een aanvaller om dit wachtwoord er uit te vissen.
Vooral als je een bij-de-tijds O.S. gebruikt (en in geval van windows ook nog EMET) en een betrouwbare browser.
Misschien dat het toch lukt met een geslaagde "Man-in-the-browser" aanval via een kwetsbaarheid in de browser.
Maar als dit gebeurt, dan vraag ik mij zo-wie-zo af of je wachtwoorden dan nog veilig zijn.
Opgeslagen wachtwoorden zijn wel encrypted. Maar óók de sleutel bevindt zich in de browser...
Dus het zou kunnen dat je ietsiepietsie veilger bent als je die dialogbox niet zo lang open laat staan.
Maar in verhouding mag het denk ik geen naam hebben.
Het is wel zonde om zelfs het kleinste risico te lopen door iets onzinnigs dat gemakkelijk kan worden vermeden.
Daarom raad ik je toch aan om die dialog box óf uit te zetten, of om hem direct te beantwoorden.
Alles over de password manager van FireFox vindt je in http://kb.mozillazine.org/Password_Manager
Als je wilt dat die dialog box niet verschijnt, dan kun je dit direct na installatie van de browser instellen
door "Remember passwords for sites" op disabled te zetten in "Tools -> Options -> Security / Passwords.
Een andere manier om te voorkomen dat Firefox om het opslaan van passwords vraagt, is door "Private Browsing mode" te gebruiken. (Bijv. door te selecteren: Tools > Options > Privacy > History: Firefox will: "Never Remember History")
Voor Chrome weet ik het niet precies.
En wil je die dialog box liever niet, dan kun je het ook uitzetten voordat je een website bezoekt.
(dan hoeft niemand zijn leven te besteden aan het uitzoeken van dergelijke vragen,
die uiteindelijk toch maar hééél beperkt antwoord geven op de vraag of een wachtwoord kan worden
gekaapt of niet. Want er zijn ook nog andere methoden om dit te doen, zoals met een keylogger...)
Daarom laat ik het bij een vermoeden:
voor de hand ligt, dat het wachtwoord zich gedurende die tijd in clear text in RAM (werkgeheugen, cache) bevindt.
Theoretisch is niets onmogelijk, maar het lijkt me erg moeilijk voor een aanvaller om dit wachtwoord er uit te vissen.
Vooral als je een bij-de-tijds O.S. gebruikt (en in geval van windows ook nog EMET) en een betrouwbare browser.
Misschien dat het toch lukt met een geslaagde "Man-in-the-browser" aanval via een kwetsbaarheid in de browser.
Maar als dit gebeurt, dan vraag ik mij zo-wie-zo af of je wachtwoorden dan nog veilig zijn.
Opgeslagen wachtwoorden zijn wel encrypted. Maar óók de sleutel bevindt zich in de browser...
Dus het zou kunnen dat je ietsiepietsie veilger bent als je die dialogbox niet zo lang open laat staan.
Maar in verhouding mag het denk ik geen naam hebben.
Het is wel zonde om zelfs het kleinste risico te lopen door iets onzinnigs dat gemakkelijk kan worden vermeden.
Daarom raad ik je toch aan om die dialog box óf uit te zetten, of om hem direct te beantwoorden.
Alles over de password manager van FireFox vindt je in http://kb.mozillazine.org/Password_Manager
Als je wilt dat die dialog box niet verschijnt, dan kun je dit direct na installatie van de browser instellen
door "Remember passwords for sites" op disabled te zetten in "Tools -> Options -> Security / Passwords.
Een andere manier om te voorkomen dat Firefox om het opslaan van passwords vraagt, is door "Private Browsing mode" te gebruiken. (Bijv. door te selecteren: Tools > Options > Privacy > History: Firefox will: "Never Remember History")
Voor Chrome weet ik het niet precies.
Door Anoniem: Na het inloggen bijvoorbeeld bij Facebook vraagt Firefox en andere browsers om je wachtwoord voor de volgende keer te onthouden. Als ik hier niet op in gaat en heel deze vraag negeer dan blijft Firefox de deze wachtwoord alsnog onthouden tot ik mijn beslissing genomen hebt.
Dat is niet zo.
Dat je "ingelogd blijft" komt niet omdat firefox je wachtwoord onthoudt, maar omdat er een sessie is, bijvoorbeeld in de
vorm van een cookie.
29-10-2014, 17:09 door
yobi
Ik zet deze functionaliteit altijd uit. De wachtwoorden worden anders opgeslagen en kunnen worden uitgelezen door derden (fysieke toegang of gehackte computer).
In Chrome -> instellingen -> geavanceerde instellingen weergeven -> twee vinkjes onder Wachtwoorden en formulieren uitzetten.
In Firefox -> Voorkeuren
-> Tab Beveiliging -> Wachtwoorden voor websites onthouden uitzetten.
-> Tab Privacy -> Geschiedenis -> Aangepaste instellingen voor geschiedenis -> Navigatie en download geschiedenis + zoek en formuliergeschiedenis uitzetten.
In Chrome -> instellingen -> geavanceerde instellingen weergeven -> twee vinkjes onder Wachtwoorden en formulieren uitzetten.
In Firefox -> Voorkeuren
-> Tab Beveiliging -> Wachtwoorden voor websites onthouden uitzetten.
-> Tab Privacy -> Geschiedenis -> Aangepaste instellingen voor geschiedenis -> Navigatie en download geschiedenis + zoek en formuliergeschiedenis uitzetten.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
