Browsers geven gebruikers de mogelijkheid om wachtwoorden voor websites op te slaan, maar in veel gevallen gebeurt dat op onveilige wijze waardoor het eenvoudig is voor malware om de opgeslagen inloggegevens te stelen. Dat ontdekte Jordan Wright van RaiderSec. Hij analyseerde de manier waarop Chrome, Mozilla Firefox en Internet Explorer wachtwoorden opslaan.
In het geval van Chrome was het eenvoudig om de opgeslagen wachtwoorden te bemachtigen. De browser versleutelt wachtwoorden via een Windows API functie genaamd CryptProtectData. Het probleem hiermee is dat een gebruiker met dezelfde inloggegevens de data kan ontsleutelen. Aangezien malware vaak in de context van een gebruiker wordt uitgevoerd, zijn de wachtwoorden dan ook niet veilig.
Internet Explorer
Bij Internet Explorer hangt de moeilijkheidsgraad af van de gebruikte versie. IE 7 t/m 9 gebruiken dezelfde Windows API om wachtwoorden te versleutelen als Chrome, alleen voegt Microsoft's browser extra entropie toe. Het gaat om de SHA1 checksum van de website waarvoor het wachtwoord wordt opgeslagen. Voor een aanvaller die de URL niet weet wordt het daardoor een stuk lastiger om de versleutelde wachtwoorden te ontcijferen.
De malware kan echter de surfgeschiedenis uitlezen en alle bezochte URL's vervolgens proberen. In IE10 is de opslag van wachtwoorden gewijzigd, en worden ze voortaan door de Credential Manager bewaard. Volgens Wright is het 'extreem eenvoudig' om de wachtwoorden van IE10 te bemachtigen.
Firefox
De derde browser die de onderzoeker bekeek was Firefox. Mozilla's browser gebruikt een andere API dan IE en Chrome om opgeslagen wachtwoorden te versleutelen. Bij het aanmaken van een Firefox-profiel wordt deze API gebruikt voor het genereren van een sleutel en salt. Deze sleutel en salt worden vervolgens gebruikt voor het versleutelen van gebruikersnamen en wachtwoorden.
Een aanvaller kan deze sleutel en salt bemachtigen en zo de opgeslagen wachtwoorden alsnog ontsleutelen, tenzij de gebruiker een sterk 'master password' heeft ingesteld. In dat geval wordt het 'zeer onwaarschijnlijk' dat een aanvaller er met de wachtwoorden vandoor gaat, merkt Wright op. Het probleem is dat deze optie standaard niet staat ingeschakeld en veel gebruikers deze feature waarschijnlijk niet kennen.
Opslag
Al met al concludeert de onderzoeker dat het niet verstandig is om browsers wachtwoorden te laten bewaren, behalve in het geval van Firefox in combinatie met een sterk master password. Wie een alternatieve password manager zoekt wordt door Wright doorverwezen naar tools zoals LastPass en KeePass.
Deze posting is gelocked. Reageren is niet meer mogelijk.