Nieuws

Chrome-extensie die wachtwoorden controleert groot succes

vrijdag 5 april 2019, 12:36 door Redactie, 6 reacties

Een Chrome-extensie van Google die controleert of wachtwoorden van gebruikers niet via verschillende datalekken op straat zijn beland is een groot succes, zo heeft de internetgigant bekendgemaakt. Password Checkup, zoals de extensie heet, werd begin februari gelanceerd.

In de eerste drie weken passeerde de extensie de 650.000 gebruikers en inmiddels hebben meer dan 820.000 mensen Password Checkup geïnstalleerd. De extensie is te vergelijken met de dienst Have I Been Pwned en waarschuwt gebruikers als hun gebruikersnaam en wachtwoord in een verzameling van meer dan 4 miljard gelekte inloggegevens voorkomen.

"Accounts die zijn blootgesteld via een datalek hebben 11,6 meer kans om te worden gecompromitteerd, met name omdat veel gebruikers hun wachtwoord voor meerdere websites hergebruiken", zegt Elie Bursztein van Google, die bij de ontwikkeling van de extensie betrokken was. Volgens Bursztein waren er twee belangrijke ontwerpprincipes. Namelijk dat Google niets over geteste inloggegevens leerde en dat criminelen de programmeerinterface (API) niet konden gebruiken om een database van gestolen inloggegevens te creëren. Dit moest daarnaast op zo'n manier worden gedaan dat het te bewijzen was.

Zodra Google een datalek ontdekt maakt het van de aanwezige gebruikersnamen en wachtwoorden een gehashte en versleutelde kopie, met een onversleutelde hash prefix van twee bytes. Wanneer gebruikers met Chrome ergens op een website inloggen verstuurt de extensie een gehashte en versleutelde kopie van de gebruikersnaam en het wachtwoord naar Google, waarbij de internetgigant alleen de hash prefix ziet.

Vervolgens wordt in de verzameling van meer dan 4 miljard gelekte gegevens gezocht naar elke onveilige gebruikersnaam en wachtwoord die dezelfde prefix hebben. Als laatste wordt lokaal op het systeem van de gebruiker gekeken of de ingevoerde inloggegevens in een datalek voorkomen. Wanneer dit het geval is krijgt de gebruiker een waarschuwing te zien met het advies om het gebruikte wachtwoord te resetten.

"Password Checkup is allesbehalve perfect en er valt nog veel te doen voordat het zijn volledige potentieel bereikt. Hopelijk zullen wachtwoorden ooit tot het verleden behoren, maar tot dan blijft het proactief resetten van gecompromitteerde inloggegevens een belangrijke verdedigingsmaatregel die gebruikers nodig hebben", merkt Bursztein op, die in deze blogposting de werking van de extensie in uitgebreid technisch detail bespreekt.

EFF: Facebook zag e-mailwachtwoord van gebruikers

Microsoft begint uitrol Windows 10 May 2019 Update eind mei

Reacties (6)

05-04-2019, 13:27 door Anoniem

Hmz. Dus ik moet in een google tool mij passwords gaan invoeren en erop vertrouwen dat die bij mij blijven. Laat maar. Ik gebruik wel gewoon op elke site een ander password - zoals het hoort.

05-04-2019, 15:49 door Anoniem

Door Anoniem: Hmz. Dus ik moet in een google tool mij passwords gaan invoeren en erop vertrouwen dat die bij mij blijven. Laat maar. Ik gebruik wel gewoon op elke site een ander password - zoals het hoort.

"waarbij de internetgigant alleen de hash prefix ziet."

06-04-2019, 20:46 door Anoniem

Overal een ander wachtwoord moet sowieso, maar als je niet checked, weet je niet of die combinatie al eens gelekt is.
Als je voor elk wachtwoord een andere lange random reeks gebruikt, is de kans daarop natuurlijk wel heel erg klein.

07-04-2019, 19:23 door Anoniem

Door Anoniem:

En hoe weet je deze verschillende lange wachtwoorden voor elke login te onthouden? Schrijf je ze op.. ,gebruik je een wachtwoord manager,of heb je ergens een wachtwoorden bestand opgeslagen.

Ik ben er erg in geïnteresseerd hoe ik het best en veiligst met mijn wachtwoorden moet/kan omgaan.

Momenteel gebruik ik de gratis versie van Dashlane ...

07-04-2019, 22:36 door Anoniem

Door Anoniem:

"waarbij de internetgigant alleen de hash prefix ziet."

Daar gaat het niet om. Het gaat erom dat we een cultuur kweken waarbij het aanvaard is om een extensie je wachtwoorden te laten verwerken. Of ze je wachtwoorden dan hashen en braafjes alleen de eerste paar tekens op een API afvuren, *of* het hele wachwoord in plain-tekst naar de extensie-maker sturen, daar heb je als eindgebruiker het raden naar...

08-04-2019, 11:40 door Happy Linux User - Bijgewerkt: 08-04-2019, 11:41

Door Anoniem:

Ik gebruik al jaren KeePass (mobiel, laptop). Sync naar mijn eigen server thuis.
Werkt perfect en eigenlijk hoef je dan geen wachtwoorden meer te onthouden behalve het wwachtwoord voor Keepass dan :-)
Dit is tenminste niet een online diens zoals Lastpass, waar het toch fout kan gaan en volgens mij ook al een keer gebeurd is.
Dashlane ken ik verder niet. Ik hoop alleen, dat het niet een cloud versie is.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Pick one:

Advertentie

Specialiseer je in Forensisch ICT

Online informatieavond 19 november

Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:

Bachelor Informatica Forensisch ICT (deeltijd)
Master Digital Forensics (vol- en deeltijd)
Module Mobile Forensics
Module Data Analytics

Interesse? Meld je aan!

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

31 reacties

Lees meer