image

Firefox vraagt OS-wachtwoord voor toegang tot opgeslagen wachtwoorden

dinsdag 7 april 2020, 10:43 door Redactie, 17 reacties

Firefoxgebruikers die in de browser opgeslagen wachtwoorden willen zien en geen master password hebben opgegeven moeten straks het accountwachtwoord van het besturingssysteem invoeren. De maatregel moet voorkomen dat aanvallers met fysieke toegang tot het systeem eenvoudig alle wachtwoorden kunnen bekijken. Mozilla erkent dat een geavanceerde aanvaller de opgeslagen inloggegevens nog steeds kan bemachtigen.

Net als andere browsers biedt Firefox de mogelijkheid om wachtwoorden voor websites op te slaan. Als extra beveiliging kunnen gebruikers een master password opgeven. Dit master password moet worden ingevoerd voordat opgeslagen wachtwoorden kunnen worden bekeken of gebruikt. Standaard zal de browser opgeslagen wachtwoorden gewoon tonen.

Vijf jaar geleden werd daarom het verzoek gedaan om een extra beveiligingsmaatregel toe te voegen wanneer er geen master password is ingesteld. Wanneer gebruikers de opgeslagen wachtwoorden willen zien moeten ze dan het accountwachtwoord van het besturingssysteem opgeven. De maatregel is nu aan een vroege testversie van Firefox 76 toegevoegd, zo laat Mozilla weten. De definitieve versie van Firefox 76 staat gepland voor 5 mei.

Image

Reacties (17)
07-04-2020, 11:00 door Anoniem
Is het nog steeds 1 april? Ik dacht dat je wachtwoorden niet moest hergebruiken? Bovendien hebben de gebruikers die deze functie het meeste nodig hebben, geen wachtwoord op hun OS.
07-04-2020, 11:27 door [Account Verwijderd] - Bijgewerkt: 07-04-2020, 11:30
Ik gebruik een klein papieren notitieboekje. Maar deze maatregel is wel effectief denk ik.
07-04-2020, 11:50 door Anoniem
Door donderslag: Maar deze maatregel is wel effectief denk ik.

Ik denk van niet. Het zet gewoon een UAC scherm op de knop die je wachtwoorden laat zien. Je kan nog steeds in je profile directory kijken van Firefox om de wachtwoorden zonder encryptie te achterhalen.

Ik dacht eerst dat het wachtwoord van je OS gebruikt werd om je wachtwoorden te encrypten. Maar er zit gewoon helemaal geen wachtwoord op.

Deze functie bestaat overigens al in alle gangbare OSen. Het het 'Lock Screen'.

Anoniem 11:00
07-04-2020, 12:43 door [Account Verwijderd]
Door Anoniem:
Door donderslag: Maar deze maatregel is wel effectief denk ik.

Ik denk van niet. Het zet gewoon een UAC scherm op de knop die je wachtwoorden laat zien. Je kan nog steeds in je profile directory kijken van Firefox om de wachtwoorden zonder encryptie te achterhalen.

Ik dacht eerst dat het wachtwoord van je OS gebruikt werd om je wachtwoorden te encrypten. Maar er zit gewoon helemaal geen wachtwoord op.

Deze functie bestaat overigens al in alle gangbare OSen. Het het 'Lock Screen'.

Anoniem 11:00
Kijk maar in /etc/passwd daar zie je ook alle namen maar niet de wachtwoorden zelf dus ik denk dat ze bij mozilla en anderen hetzelfde principe hebben toegepast. Maar goed, ik heb versie 76 van ff nog niet gezien dus voor mij is het ook nog een raadsel om eerlijk te zijn.
07-04-2020, 13:06 door Anoniem
Wie zijn wachtwoorden in een browser of in de 'cloud' opslaat is te DOM voor woorden.
07-04-2020, 13:07 door Briolet
Door Anoniem: …Ik dacht dat je wachtwoorden niet moest hergebruiken? …

Er wordt hier niets 'hergebruikt' omdat het juist voor de gevallen bedoeld is waar geen wachtwoord ingesteld is. Firefox zal het wachtwoord niet kennen en waarschijnlijk het ingevoerde wachtwoord aan een API van het systeem aanbieden en het resultaat gebruiken.

Alleen zal Firefox de wachtwoorden ook niet gecodeerd kunnen opslaan zonder eigen hoofdwachtwoord. De functie is blijkbaar alleen bedoeld om te voorkomen dat de wachtwoorden op een simpele manier door derden opgehaald kunnen worden.
07-04-2020, 13:08 door Anoniem
Door donderslag: Kijk maar in /etc/passwd daar zie je ook alle namen maar niet de wachtwoorden zelf dus ik denk dat ze bij mozilla en anderen hetzelfde principe hebben toegepast. Maar goed, ik heb versie 76 van ff nog niet gezien dus voor mij is het ook nog een raadsel om eerlijk te zijn.

Ze staan in de Shadow File https://en.wikipedia.org/wiki/Passwd#Shadow_file

Probleem is dat Firefox (behalve de updater) zonder admin rechten draait. En dit wil je ook zo houden voor de veiligheid van je hele systeem. Dus dat hele UAC gebeuren is heel raar om te zien. Er durft kennelijk niemand meer kritisch te zijn bij het huidige Mozilla.

Anoniem 11:00
07-04-2020, 13:41 door De baard
Ik heb geen wachtwoord voor Windows, wel een pincode. Nou ja, niet dat ik wachtwoorden opsla in Firefox. Die gaan lekker allemaal Keepass in.
07-04-2020, 14:48 door Anoniem
Door De baard: Ik heb geen wachtwoord voor Windows, wel een pincode. Nou ja, niet dat ik wachtwoorden opsla in Firefox. Die gaan lekker allemaal Keepass in.
Wat heeft jouw reactie dan met artikel te maken?
07-04-2020, 15:58 door Anoniem
Wie zijn wachtwoorden in een browser of in de 'cloud' opslaat is te DOM voor woorden.

Hangt geheel af van de implementatie, en de verder genomen beveiligingsmaatregelen. Maar dat snappen alleen slimme mensen.
07-04-2020, 16:28 door Anoniem
Door Anoniem: Wie zijn wachtwoorden in een browser of in de 'cloud' opslaat is te DOM voor woorden.
Goede onderbouwing.....

Werkt trouwens gewoon heel goed en veilig hoor, en een stuk gemakkelijker dan de meeste andere oplossingen.
07-04-2020, 17:01 door De baard
Door Anoniem:
Door De baard: Ik heb geen wachtwoord voor Windows, wel een pincode. Nou ja, niet dat ik wachtwoorden opsla in Firefox. Die gaan lekker allemaal Keepass in.
Wat heeft jouw reactie dan met artikel te maken?
En de jouwe? De stille vraag, wat als je een pincode, danwel Windows Hello gebruikt om je Windows te ontsluiten, wat gaat Firefox dan doen?
07-04-2020, 17:01 door The FOSS
Door Anoniem:
Door De baard: Ik heb geen wachtwoord voor Windows, wel een pincode. Nou ja, niet dat ik wachtwoorden opsla in Firefox. Die gaan lekker allemaal Keepass in.
Wat heeft jouw reactie dan met artikel te maken?

Ik vind het opvoedkundig bezien zeker interessant.
07-04-2020, 20:35 door The FOSS - Bijgewerkt: 07-04-2020, 20:35
Door Briolet: Firefox zal het wachtwoord niet kennen en waarschijnlijk het ingevoerde wachtwoord aan een API van het systeem aanbieden en het resultaat gebruiken.

Inderdaad. Dat staat ook in de beschrijving van de (oplossing voor de) bug.

In the current bug we dont change how the password are stored, we just use an api to ask him for his windows password

https://bugzilla.mozilla.org/show_bug.cgi?id=1194529
08-04-2020, 12:07 door Anoniem
Door Anoniem: Wie zijn wachtwoorden in een browser of in de 'cloud' opslaat is te DOM voor woorden.

Waarom zijn zoveel "beveiligingse experts" zo... ja sorry ik heb even geen beleefd woord om dit te omschrijven.

Elke keer als er een veiligheidsdingetje wordt gepubliceerd waar jan-met-de-pet gevoelig voor is dan staat er een legertje van dit soort mensen klaar om te vertellen hoe verschrikkelijk dom iedereen die er voor valt wel niet is.

*achteraf* weten alle "experts" precies te vertellen wat iederen fout deed en dat ze zelf echt nooooit zoiets ontiegelijk doms zouden doen.
Alles wat er hier gepost wordt over lekken wordt afgepiest als "dat wist ik al jaren" en "je moet wel heel dom zijn als je dat niet weet" en andere kreten die duidelijk moeten maken dat we hier toch echt wel te maken hebben met een mega-expert die vertelt hoe ontiegelijk nietig jij als domme eindgebruiker wel niet moet zijn dat je dat niet wist.

Elke keer dat een bedrijf de veiligheid probeert te verbeteren dan is het "nou daar heb je dus niets aan want als je <en dan volgt een omschrijving van een situatie die *niets* met het issue te maken heeft> dan is het nog steeds onveilig".

De hemel verhoedde dat er iets wordt gepost over Windows, Android of Apple, dan gaan de heren collectief los om het OS hun favouriete OS te promoten en het andere OS zwart te maken. Dat ze meestal niet genoeg van het andere OS weten om uberhaupt het issue te begrijpen dat doet ze niets, er moet flink duidelijk worden dat *hun* favouriete OS superieur is.... tot er een paar dagen later een issue met dat OS is, dan hoor je ze niet.

Ik vind security.nl een leuke site met nuttig nieuws maar die comments zouden eigenlijk gewoon afgesloten moeten worden, 99.4 pocent is geneuzel in de marge, misonformatie en ruzie.
09-04-2020, 04:26 door Anoniem
Door De baard:
Door Anoniem:
Door De baard: Ik heb geen wachtwoord voor Windows, wel een pincode. Nou ja, niet dat ik wachtwoorden opsla in Firefox. Die gaan lekker allemaal Keepass in.
Wat heeft jouw reactie dan met artikel te maken?
En de jouwe? De stille vraag, wat als je een pincode, danwel Windows Hello gebruikt om je Windows te ontsluiten, wat gaat Firefox dan doen?

Dan wordt er gevraagd om de pincode. Deze wijziging is niks nieuws, behalve blijkbaar voor Firefox. Chromium based browsers doen dit al een hele lange tijd. De support hiervoor is gebaseerd op de ingebouwde security dialog, wat dus ook Windows Hello ondersteund (waaronder PIN en WH Face).
09-04-2020, 08:17 door [Account Verwijderd]
Door Anoniem: Wie zijn wachtwoorden in een browser of in de 'cloud' opslaat is te DOM voor woorden.

En wie dat zegt, weet niet hoe het werkt.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.