image

Chrome en IE slaan wachtwoorden onveilig op

vrijdag 21 juni 2013, 12:17 door Redactie, 9 reacties

Browsers geven gebruikers de mogelijkheid om wachtwoorden voor websites op te slaan, maar in veel gevallen gebeurt dat op onveilige wijze waardoor het eenvoudig is voor malware om de opgeslagen inloggegevens te stelen. Dat ontdekte Jordan Wright van RaiderSec. Hij analyseerde de manier waarop Chrome, Mozilla Firefox en Internet Explorer wachtwoorden opslaan.

In het geval van Chrome was het eenvoudig om de opgeslagen wachtwoorden te bemachtigen. De browser versleutelt wachtwoorden via een Windows API functie genaamd CryptProtectData. Het probleem hiermee is dat een gebruiker met dezelfde inloggegevens de data kan ontsleutelen. Aangezien malware vaak in de context van een gebruiker wordt uitgevoerd, zijn de wachtwoorden dan ook niet veilig.

Internet Explorer
Bij Internet Explorer hangt de moeilijkheidsgraad af van de gebruikte versie. IE 7 t/m 9 gebruiken dezelfde Windows API om wachtwoorden te versleutelen als Chrome, alleen voegt Microsoft's browser extra entropie toe. Het gaat om de SHA1 checksum van de website waarvoor het wachtwoord wordt opgeslagen. Voor een aanvaller die de URL niet weet wordt het daardoor een stuk lastiger om de versleutelde wachtwoorden te ontcijferen.

De malware kan echter de surfgeschiedenis uitlezen en alle bezochte URL's vervolgens proberen. In IE10 is de opslag van wachtwoorden gewijzigd, en worden ze voortaan door de Credential Manager bewaard. Volgens Wright is het 'extreem eenvoudig' om de wachtwoorden van IE10 te bemachtigen.

Firefox
De derde browser die de onderzoeker bekeek was Firefox. Mozilla's browser gebruikt een andere API dan IE en Chrome om opgeslagen wachtwoorden te versleutelen. Bij het aanmaken van een Firefox-profiel wordt deze API gebruikt voor het genereren van een sleutel en salt. Deze sleutel en salt worden vervolgens gebruikt voor het versleutelen van gebruikersnamen en wachtwoorden.

Een aanvaller kan deze sleutel en salt bemachtigen en zo de opgeslagen wachtwoorden alsnog ontsleutelen, tenzij de gebruiker een sterk 'master password' heeft ingesteld. In dat geval wordt het 'zeer onwaarschijnlijk' dat een aanvaller er met de wachtwoorden vandoor gaat, merkt Wright op. Het probleem is dat deze optie standaard niet staat ingeschakeld en veel gebruikers deze feature waarschijnlijk niet kennen.

Opslag
Al met al concludeert de onderzoeker dat het niet verstandig is om browsers wachtwoorden te laten bewaren, behalve in het geval van Firefox in combinatie met een sterk master password. Wie een alternatieve password manager zoekt wordt door Wright doorverwezen naar tools zoals LastPass en KeePass.

Reacties (9)
21-06-2013, 12:30 door [Account Verwijderd]
[Verwijderd]
21-06-2013, 12:39 door [Account Verwijderd]
[Verwijderd]
21-06-2013, 12:54 door yobi
Gewoon nooit wachtwoorden opslaan en automatisch aanvullen uitzetten. Zelf heb ik liever een papiertje waar de inloggegevens opstaan.
21-06-2013, 13:05 door Peter H.
@Yobi:
Dat wordt dan een WC-rol lang papiertje? Of gebruik je overal het zelfde userid/password?
Volg AUB het advies op in de laatste regel van het artikel. (http://keepass.info/)
21-06-2013, 13:43 door Anoniem
Door Redactie:
In het geval van Chrome was het eenvoudig om de opgeslagen wachtwoorden te bemachtigen. De browser versleutelt wachtwoorden via een Windows API functie genaamd CryptProtectData. Het probleem hiermee is dat een gebruiker met dezelfde inloggegevens de data kan ontsleutelen. Aangezien malware vaak in de context van een gebruiker wordt uitgevoerd, zijn de wachtwoorden dan ook niet veilig.
Uiteraard! Als de wachtwoorden door de gebruiker niet ontcijferd kunnen worden dan heb je aan de hele functie niks.
21-06-2013, 13:50 door Anoniem
Slecht artikel. Wat is de bevinding?

De mogelijkheid om wachtwoorden op te slaan ("single sign-on") is er om het "browse-leven" van de gebruiker makkelijker te maken.
De browser draait in user-context, en dus moeten, per definitie, de wachtwoorden voor de gebruiker zelf te lezen zijn. Ook al zouden ze extreem driedubbel versleuteld zijn: uiteindelijk moeten ze, om single-signon mogelijk te maken, zonder interactie met de gebruiker naar clear-text worden teruggehaald en in het web-form worden ingevuld. Dat is in elke applicatie en dus ook in elke browser zo.

Dat de schrijver meer moeite had met de wachtwoorden uitlezen op Firefox zegt alleen iets over de tijd die hij daar in gestoken heeft. Ook Firefox heeft een kant-en-klare API waarmee een gebruiker wachtwoorden uit de eigen cache kan halen.

Het zou pas een serieus nieuw risico zijn als gebruikers bij de wachtwoorden van elkaar konden komen.

Nu lezen we alleen dat de gebruiker zelf altijd bij al zijn of haar wachtwoorden kan. En dat malware die in gebruiker context draait dat ook kan. Ja, dat klopt, dat is de prijs van single sign-on.

En (dus) kan je ernstige vraagtekens plaatsen bij of single-signon (altijd) wel zo'n goed idee is.
21-06-2013, 16:37 door Anoniem
@ 12:30 Allard Pruim en andere Mac OS X gebruikers

Hoe zit het dan met de Mac OS X en Linux versie?


? Geen wachtwoorden in je browser bewaren

Het probleem hiermee is dat een gebruiker met dezelfde inloggegevens de data kan ontsleutelen. Aangezien malware vaak in de context van een gebruiker wordt uitgevoerd, zijn de wachtwoorden dan ook niet veilig.

? Local User-context permissies?

Dat geldt ook voor Mac OS X wanneer je een applicatie onder een regular user account hebt geïnstalleerd.
De applicatie krijgt dat de gelimiteerde permissies van de betreffende account.
Dat kan op zich veilig zijn (want het heeft geen admin rechten), nadeel is dat in geval van wachtwoord beheer niet om een wachtwoord gevraagd wordt daar je al bent ingelogd met betreffende permissies.

Een uitzondering daarop is het voorkeuren paneel onder de system preferences waarbij je kan instellen dat er een admin wachtwoord is vereist voor het ontgrendelen van elk voorkeurs paneel.

Bij mijn weten ;-) zijn de voorkeuren van mozilla applicaties niet ondergebracht in het voorkeuren paneel waarmee de genoemde advies-optie van het master password overblijft.

Daarbij denk ik, maar dat weet ik niet zeker en het is een overweging, dat je het beste toch je browser en bijvoorbeeld een mailclient als Thunderbird het beste kan (re?)installeren onder je admin-account.
Voor modificatie van de applicatie is dan een admin password vereist (als deze in de algemene applicatie directory is geïnstalleerd).

Maar het zou goed kunnen dat malware de lokale user preference misbruikt, want makkelijker benaderbaar, opgeslagen in je lokale user library preferences of de een van de mozilla directories.

Om misbruik daarvan tegen te gaan zou te overwegen zijn de user permissies te wijzigen van het prefs.js file van Firefox of Thunderbird (alleen lees rechten toekennen aan de reguliere user account waaronder je werkt en een admin lezen en schrijven permissie toevoegen).

! Wel ervaring met het beveiligen van Mac OS X met o.a. permissie beheer, maar deze mogelijke variant heb ik nog niet uitgeprobeerd.

Eventueel experiment is dus voor eigen risico,
met de dringende aantekening dat je met verkeerd permissie beheer je hele Mac compleet overhoop kan halen! Herstel daarvan gaat niet zomaar met een reset van je OS X install software!

! Pas het dus niet toe op hele mappen of accounts als je niet weet waar je mee bezig bent en weeg het security risico af tegen de mogelijke problemen die je er zelf van kan ondervinden (daarom zou ik ook bijvoorbeeld niet gauw een firmware password instellen bijvoorbeeld of hele back-ups encrypten, maar dat terzijde).

? In ieder geval bij gebruik van een master password deze maar heel goed bewaren (dubbel en niet alleen digitaal).

? Standaard werken onder een regulier user account in plaats van je admin account.

Mocht je dat nog niet gedaan hebben.

? Java plugin uitschakelen in je browser
en daarbij apart nog eens Java in het systeem voorkeuren paneel in haar geheel uitschakelen (apart voor elke account!) is het veiligst.
Schakel je het alleen in als je het even nodig mocht hebben.

Whitelisten per site kan tegenwoordig ook in de laatste Safari versies, al zou ik zelfs dat niet doen want ook 'betrouwbare sites' kunnen af en toe geïnfecteerd raken.

? De Safari browser zou ik alleen nog gebruiken als je over een recente versie kan beschikken.

Dringend (persoonlijk) advies is deze in andere gevallen niet te gebruiken vanwege de integratie (permissies) met OS X.
Daarnaast biedt een mozilla browser veel meer (?) configuratie mogelijkheden met meer beschikbare addons of via handmatige aanpassingen in de about:config.
22-06-2013, 16:12 door Anoniem
Toevoeging bij post 16:37 door Anoniem

De zinnen beginnend met een vraagteken betroffen een ander teken als alternatief voor een reguliere asterisk die uiteindelijk hier onbedoeld vertaald werden met een vraagteken.
Mocht dat voor verwarring gezorgd hebben.

Ben overigens inhoudelijk zeer benieuwd naar de argumenten van de min gever.
Heb ik iets over het hoofd gezien?
Misschien kan ik er nog wat van leren en levert het nieuwe Mac-security-inzichten op?

Ben benieuwd
23-06-2013, 08:00 door fluffyb53
Nir Sofer van Nirsoft had dit dus al lang door . http://www.nirsoft.net/utils/web_browser_password.html
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.