Nieuws
image

Chrome-extensie controleert of wachtwoorden zijn gelekt

donderdag 24 mei 2018, 12:07 door Redactie, 8 reacties

Ontwikkelaars hebben een gratis opensource-extensie voor Google Chrome gemaakt die controleert of wachtwoorden van gebruikers ooit via een datalek op straat zijn beland. PassProtect, zoals de extensie heet, kijkt hiervoor in een database van meer dan 500 miljoen gelekte wachtwoorden.

De database is afkomstig van onderzoeker Troy Hunt, die de afgelopen jaren tal van datalekken verzamelde. PassProtect is ontwikkeld door identiteitsmanagementbedrijf Okta. Aangezien de wachtwoorden die gebruikers invoeren worden vergeleken met eerder gelekte wachtwoorden gaat het hier om gevoelige data. Volgens Okta slaat PassProtect geen wachtwoorden van gebruikers op en verstuurt die ook niet via het netwerk. Hiervoor maakt de extensie gebruik van k-anonimity.

Dit is een door Cloudflare ontwikkelde techniek die het mogelijk maakt om wachtwoorden te verifiëren zonder dat het wachtwoord of de volledige hash worden verstuurd. Als gebruikers op een website een wachtwoord invoeren dat onderdeel van een bekend datalek is, zal PassProtect een waarschuwing laten zien. Okta hoopt dat de extensie ervoor zal zorgen dat gebruikers hun wachtwoord na een datalek zullen wijzigen. PassProtect is te downloaden via de Chrome Web Store en de broncode via via GitHub in te zien. Binnenkort verschijnt er een versie voor Firefox.

Image

Reacties (8)
24-05-2018, 13:23 door Anoniem
Ik verstuur mijn wachtwoorden niet over het internet naar derden.
24-05-2018, 13:32 door Anoniem
Een handige extensie maar tegelijkertijd hoe waarborgt de extensie JOUW wachtwoorden die je invoert. Kan een aanvaller met kwaadwillende intenties een aanval uitvoeren op de extensie om zo je wachtwoorden te achterhalen? Klinkt misschien een beetje paniekzaaiend maar wel iets waar rekening mee gehouden moet worden.

Een dergelijke website bestaat namelijk als waar je wachtwoorden kan testen of deze al 'gepwned' zijn. Ik neem aan dat de extensie voor de desbetreffende website een of andere API gebruikt.
Link: https://haveibeenpwned.com/Passwords
24-05-2018, 13:42 door Anoniem
Wat is nou de waarde hiervan? Als ik het goed begrijp dan vertelt de plugin of je een wachtwoord gebruikt dat iemand ter wereld ooit gebruikt heeft. Dus heeft niets met jouw account te maken. Dus als iemand ooit wachtwoord "ADSFJ#whjdsahbj32DAJJ@#!881QQJFNCNAA" gebruikt heeft dan is het onveilig om dit wachtwoord te gebruiken?
24-05-2018, 15:57 door Anoniem
"Volgens Okta slaat PassProtect geen wachtwoorden van gebruikers op en verstuurt die ook niet via het netwerk."

Dat geloof ik graag, maar ze raden zelf aan om een minified scriptje van hun CDN zonder enige validatie in te laden op je website. Wat een enorm potentieel risico.
24-05-2018, 18:46 door Anoniem
Regelmatig wachtwoorden wijzigen is veel effectiever, net zoals 1 uniek ww per site. Een goede password manager geeft aan wanneer ww toe is aan vervanging en als deze suggesties opvolgt is de kans dat al je accounts worden overgenomen door een kwaadwillende zo goed als nihil.

Het enige dat mij verontrust is wat er zou kunnen gebeuren als de site van mijn password manager wordt gehackt.
24-05-2018, 21:56 door Anoniem
Een test om de domheid of goedgelovigheid van de smartphone generatie vast te stellen !!
28-05-2018, 09:52 door Anoniem
Mooi, met een truncated hash en een 'anoniem request/client' kan dit op een veilige manier gebruikt worden. En het spreekt voor zich dat de request/cliënt niet gecomprimeerd mag zijn.

Nu vergelijken ze dit wel tot een hele database van gebruikte passwords. En brengt dit veel false-positives mee. Maar dit kan indd gebruikers alleen maar meer stimuleren om unieke paswoorden te gebruiken
28-05-2018, 13:54 door Leen_T
Door Anoniem: Een handige extensie maar tegelijkertijd hoe waarborgt de extensie JOUW wachtwoorden die je invoert. Kan een aanvaller met kwaadwillende intenties een aanval uitvoeren op de extensie om zo je wachtwoorden te achterhalen? Klinkt misschien een beetje paniekzaaiend maar wel iets waar rekening mee gehouden moet worden.

Een dergelijke website bestaat namelijk als waar je wachtwoorden kan testen of deze al 'gepwned' zijn. Ik neem aan dat de extensie voor de desbetreffende website een of andere API gebruikt.
Link: https://haveibeenpwned.com/Passwords

Superhandige site. Moet je je emailadres opgeven om te controleren of je in hun database zit. Weer een extra geverifieerd emailadres erbij. Heb je al veel spam gevangen?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure