"Sla wachtwoorden niet op in browser maar gebruik een wachtwoordmanager"
De meeste browsers bieden gebruikers de mogelijkheid om wachtwoorden voor websites op te slaan, maar het is verstandiger een aparte wachtwoordmanager te gebruiken, zo stelt de Belgische beveiligingsexpert en Internet Storm Center-handler Xavier Mertens. Hij is betrokken bij het onderzoek naar een beveiligingsincident waarbij inloggegevens werden buitgemaakt en ontdekte dat veel van de gestolen wachtwoorden in de wachtwoordendatabase van Chrome waren opgeslagen.
Mertens merkt op dat de wachtwoorden versleuteld zijn opgeslagen, maar de vereiste sleutel voor het ontsleutelen zich in een JSON-bestand op het systeem bevindt. Op internet wordt ook allerlei malware aangeboden waarmee wachtwoorden uit browsers zijn te stelen. Een bekend voorbeeld is RedLine Stealer. Deze malware is in staat om inloggegevens uit Google Chrome, Mozilla Firefox en Opera te stelen, waaronder opgeslagen wachtwoorden en creditcardgegevens, alsmede browsercookies en auto-fill content.
De beveiligingsexpert adviseert gebruikers dan ook om geen wachtwoorden in de browser op te slaan, maar hiervoor een aparte wachtwoordmanager te gebruiken. De meeste wachtwoordmanagers bieden daarnaast een browserplug-in zodat ze net zo eenvoudig zijn te gebruiken als de ingebouwde wachtwoordopslag van de browser zelf.
Reacties (23)
Stel op zijn minst een hoofdwachtwoord in voor de opgeslagen wachtwoorden in de browser als je geen gebruik wilt maken van een aparte password manager.
Twee aanvullingen:
1) Firefox kan werken met een Master Password (AKA Primary Password).
2) Wachtwoord managers werken volgens mij altijd via het Klembord. Waardoor je je wachtwoord zou kunnen plakken op een plaats waar dat niet zo handig is. De browser Opera leest je klembord bijvoorbeeld veelvuldig als deze open staat. https://www.security.nl/posting/743769/Nieuwste+Opera+beschermt+gevoelige+data+in+clipboard+tegen+aanpassingen. Maar elk programma kan eigenlijk wel bij het klembord omdat Ctrl-C Ctrl-V anders niet werkt.
1) Firefox kan werken met een Master Password (AKA Primary Password).
2) Wachtwoord managers werken volgens mij altijd via het Klembord. Waardoor je je wachtwoord zou kunnen plakken op een plaats waar dat niet zo handig is. De browser Opera leest je klembord bijvoorbeeld veelvuldig als deze open staat. https://www.security.nl/posting/743769/Nieuwste+Opera+beschermt+gevoelige+data+in+clipboard+tegen+aanpassingen. Maar elk programma kan eigenlijk wel bij het klembord omdat Ctrl-C Ctrl-V anders niet werkt.
17-05-2022, 15:47 door
meinonA
Door Anoniem: Twee aanvullingen:
2) Wachtwoord managers werken volgens mij altijd via het Klembord.
2) Wachtwoord managers werken volgens mij altijd via het Klembord.
Volgens mij niet: invoervelden worden gevuld vanuit de extensie, niet via copy/paste.
17-05-2022, 16:13 door
Briolet
2) Wachtwoord managers werken volgens mij altijd via het Klembord.
Dat zal van de manager af hangen. De wachtwoord manager van Apple (Sleutelhangertoegang) heeft een eigen api voor het benaderen van de wachtwoorden vanuit een programma. Safari maakt daar gebruik van en vroeger deed de mac versie van Chrome dat ook. Ik dacht dat Opera deze manager ook gebruikte.
Jammer alleen dat de andere browsers dan Safari er mee gestopt zijn omdat ze hun eigen cloudopslag van wachtwoorden er door wilden drukken.
Door Anoniem: 2) Wachtwoord managers werken volgens mij altijd via het Klembord.
Niet altijd. Keepass, KeepassX en KeepassXC kennen Auto-type: via een virtueel toetsenbord worden de tekens ingetypt, inclusief TAB om van usernaam naar wachtwoord te springen en ENTER om het inlogformulier te versturen (dit is configureerbaar per inlogformulier). Daar komt geen klembord of browser-extensie aan te pas.Door Anoniem: Twee aanvullingen:
1) Firefox kan werken met een Master Password (AKA Primary Password).
2) Wachtwoord managers werken volgens mij altijd via het Klembord. Waardoor je je wachtwoord zou kunnen plakken op een plaats waar dat niet zo handig is. De browser Opera leest je klembord bijvoorbeeld veelvuldig als deze open staat. https://www.security.nl/posting/743769/Nieuwste+Opera+beschermt+gevoelige+data+in+clipboard+tegen+aanpassingen. Maar elk programma kan eigenlijk wel bij het klembord omdat Ctrl-C Ctrl-V anders niet werkt.
1) Firefox kan werken met een Master Password (AKA Primary Password).
2) Wachtwoord managers werken volgens mij altijd via het Klembord. Waardoor je je wachtwoord zou kunnen plakken op een plaats waar dat niet zo handig is. De browser Opera leest je klembord bijvoorbeeld veelvuldig als deze open staat. https://www.security.nl/posting/743769/Nieuwste+Opera+beschermt+gevoelige+data+in+clipboard+tegen+aanpassingen. Maar elk programma kan eigenlijk wel bij het klembord omdat Ctrl-C Ctrl-V anders niet werkt.
Daarom autotype gebruiken i.p.v. klembord.
"Sla wachtwoorden niet op in browser maar gebruik een wachtwoordmanager"
Op de keper beschouwd hoef je ook geen wachtwoordmanager te gebruiken. Het enige wat je moet doen is "wachtwoord vergeten" gebruiken en elke keer opnieuw een sterk uniek wachtwoord te maken die lang genoeg is. Voordeel: je hoeft je wachtwoorden nergens meer op te slaan of te onthouden.In het advies lees ik niets over iCloud / Safari?
Ik verwacht gezien de extra authenticatie daar geen issues?
Ik verwacht gezien de extra authenticatie daar geen issues?
Als een losse wachtwoordmanager wel goed is en die van een browsermaker niet, dan kan meneer Mertens misschien
helpen (op zijn minst met ideeen) om deze situatie recht te trekken, dwz de wachtwoordmanager van de browser net
zo veilig te maken.
Immers dit is geen principieel verschil, er is hooguit sprake van een op dit moment slechtere implementatie, en dat
kan dan verbeterd worden. We herrinneren ons allemaal wel de tijd dat "een virusscanner van je operatingsystem"
slechter was dan een los gekochte, en dat is nu ook verleden tijd.
Kortom, de schouders eronder!
helpen (op zijn minst met ideeen) om deze situatie recht te trekken, dwz de wachtwoordmanager van de browser net
zo veilig te maken.
Immers dit is geen principieel verschil, er is hooguit sprake van een op dit moment slechtere implementatie, en dat
kan dan verbeterd worden. We herrinneren ons allemaal wel de tijd dat "een virusscanner van je operatingsystem"
slechter was dan een los gekochte, en dat is nu ook verleden tijd.
Kortom, de schouders eronder!
Door Anoniem: Stel op zijn minst een hoofdwachtwoord in voor de opgeslagen wachtwoorden in de browser als je geen gebruik wilt maken van een aparte password manager.
ja dat gaat echte werken.
In het artikel, 2e alinea:
"Mertens merkt op dat de wachtwoorden versleuteld zijn opgeslagen, maar de vereiste sleutel voor het ontsleutelen zich in een JSON-bestand op het systeem bevindt."
Dus lekker veilig dat hoofdwachtwoord.
Door Anoniem:
"Sla wachtwoorden niet op in browser maar gebruik een wachtwoordmanager"
Op de keper beschouwd hoef je ook geen wachtwoordmanager te gebruiken. Het enige wat je moet doen is "wachtwoord vergeten" gebruiken en elke keer opnieuw een sterk uniek wachtwoord te maken die lang genoeg is. Voordeel: je hoeft je wachtwoorden nergens meer op te slaan of te onthouden.Je bent alleen meer tijd kwijt om in te loggen.
En als je een tijdelijk email-adres gebruikt hebt bij het aanmaken van het account, dan gaat deze oplossing (ook) niet werken.
Door Anoniem:
ja dat gaat echte werken.
In het artikel, 2e alinea:
"Mertens merkt op dat de wachtwoorden versleuteld zijn opgeslagen, maar de vereiste sleutel voor het ontsleutelen zich in een JSON-bestand op het systeem bevindt."
Dus lekker veilig dat hoofdwachtwoord.
Door Anoniem: Stel op zijn minst een hoofdwachtwoord in voor de opgeslagen wachtwoorden in de browser als je geen gebruik wilt maken van een aparte password manager.
ja dat gaat echte werken.
In het artikel, 2e alinea:
"Mertens merkt op dat de wachtwoorden versleuteld zijn opgeslagen, maar de vereiste sleutel voor het ontsleutelen zich in een JSON-bestand op het systeem bevindt."
Dus lekker veilig dat hoofdwachtwoord.
Wat je hier beschrijft is de situatie als je GEEN hoofdwachtwoord gebruikt. Dan zijn de wachtwoorden versleuteld onder
een random gegenereerd hoofdwachtwoord wat in een bestand staat.
Maar als je zelf een ander hoofdwachtwoord kiest dan wordt dat niet in dat bestand opgeslagen uiteraard. Dan moet
je het zelf intikken.
Door Anoniem:
"Sla wachtwoorden niet op in browser maar gebruik een wachtwoordmanager"
Op de keper beschouwd hoef je ook geen wachtwoordmanager te gebruiken. Het enige wat je moet doen is "wachtwoord vergeten" gebruiken en elke keer opnieuw een sterk uniek wachtwoord te maken die lang genoeg is. Voordeel: je hoeft je wachtwoorden nergens meer op te slaan of te onthouden.Wachtwoorden zijn ook gelinkt aan eventuele apps, waar je je dus ook elke keer weer moet aanmelden. Voor niet alles de oplossing dus helaas
Door Anoniem:
Helaas moet ik voor (gelukkig maar een heel klein stukje van) mijn werk gebruik maken van een vervelende Cloud oplossing die geen MFA kent en waarbij je wachtwoord iedere 45 dagen moet worden vernieuwd. Ik heb het één keer per maand nodig maar als ik het een keer oversla dan moet de beheerder mijn wachtwoord resetten omdat ook een 'wachtwoord vergeten' functionaliteit er niet op zit! In dat geval is het toch wel handig om Keepass te gebruiken en standaard iedere maand een keer in te loggen."Sla wachtwoorden niet op in browser maar gebruik een wachtwoordmanager"
Op de keper beschouwd hoef je ook geen wachtwoordmanager te gebruiken. Het enige wat je moet doen is "wachtwoord vergeten" gebruiken en elke keer opnieuw een sterk uniek wachtwoord te maken die lang genoeg is. Voordeel: je hoeft je wachtwoorden nergens meer op te slaan of te onthouden.Heel mooi een wachtwoordmanager en elke xx dagen je wachtwoord wijzigen, maar als er een keylogger op je pc staat helpt het niet om geregeld je wachtwoord te wijzigen en supercomplex te maken.
18-05-2022, 16:04 door
Erik van Straten
Door Anoniem: ...als er een keylogger op je pc staat helpt het niet om geregeld je wachtwoord te wijzigen en supercomplex te maken.
Als er een keylogger op je PC staat is de kans groot dat dit niet de enige malware is, en dan helpt er weinig tot niets.Helaas zijn besturingssystemen zo complex geworden dat het zeer lastig is (zo niet onmogelijk) om van een systeem aan te tonen dat het niet gecompromitteerd is (of een achterdeurtje bevat waarmee dat elk moment zou kunnen).
Losse wachtwoordmanagers hebben nadelen, maar voordelen ervan zijn dat je er ook wachtwoorden voor niet-webaccounts in kunt opslaan, en dat je met zo'n manager ook een overzicht kunt hebben van waar je allemaal accounts hebt.
2 factor helpt tegen meelezen.
Bitwarden gebruiken bijv, en gebruik een yubikey, dit is een van de veiligste manieren.
Ja je moet steeds een yubikey gebruiken om bitwarden te openen.
Bitwarden gebruiken bijv, en gebruik een yubikey, dit is een van de veiligste manieren.
Ja je moet steeds een yubikey gebruiken om bitwarden te openen.
Voor mijn persoonlijke zaken gebruik ik een wachtwoordenboekje van papier, van de Bruna, met een harde kaft. Met daarin steepjescode stickers. Benodigd is een barcodescanner om de wachtwoorden snel en zonder fouten in te voeren. De wachtwoorden staan in het boekje voor de helft vermeld. De andere helft staat op een plastic kaart, die ik altijd mee draag in mijn portefeuille. Tegen verlies en brand liggen kopieën in twee kluizen, die op verschillende locaties staan.
Voor professionele doeleinden, voor server beheer e.d., vond ik de volgende twee berichten ooit nuttig om te lezen:
Opensource passwordmanager met opensource two-factor authenticatie
25-03-2021, door Anoniem
https://www.security.nl/posting/696323/Opensource+passwordmanager+met+opensource++2FA+authenticatie
GnuPG krijgt TPM-support voor fysiek koppelen van encryptiesleutels
09-04-2021, door Redactie
https://www.security.nl/posting/698341/GnuPG+krijgt+TPM-support+voor+fysiek+koppelen+encryptiesleutels
Linux bash commando's om lange wachtwoorden uitgeprint op steepjescodes stickers te verkrijgen:
GNU Barcode supports UPC, EAN, ISBN, CODE39 and other encoding standards
https://www.gnu.org/software/barcode/
Het lijkt ingwiikkelder dan het is. Het is eenvoudig. De kunst is de streepjescodes precies op de stickers te krijgen.
Voor professionele doeleinden, voor server beheer e.d., vond ik de volgende twee berichten ooit nuttig om te lezen:
Opensource passwordmanager met opensource two-factor authenticatie
25-03-2021, door Anoniem
https://www.security.nl/posting/696323/Opensource+passwordmanager+met+opensource++2FA+authenticatie
GnuPG krijgt TPM-support voor fysiek koppelen van encryptiesleutels
09-04-2021, door Redactie
https://www.security.nl/posting/698341/GnuPG+krijgt+TPM-support+voor+fysiek+koppelen+encryptiesleutels
Linux bash commando's om lange wachtwoorden uitgeprint op steepjescodes stickers te verkrijgen:
$ export string=$( apg -a 1 -n 1 -m 32 -c /dev/random ) && echo "$string"
$ barcode -b "$string" | ps2pdf - output.pdf && lpr output.pdf
$ rm output.pdf # using an offline, air-gapped system in highly recommended
$ barcode -b "$string" | ps2pdf - output.pdf && lpr output.pdf
$ rm output.pdf # using an offline, air-gapped system in highly recommended
GNU Barcode supports UPC, EAN, ISBN, CODE39 and other encoding standards
https://www.gnu.org/software/barcode/
Het lijkt ingwiikkelder dan het is. Het is eenvoudig. De kunst is de streepjescodes precies op de stickers te krijgen.
Opgeslagen wachtwoorden vallen voor MFA ook niet meer onder de "knowledge" factor, maar de "possession" factor.
Iedereen in het bezit van de browserdata / cache kan het wachtwoord achterhalen.
De combinatie van een opgeslagen wachtwoord er en een andere possession factor is daarom geen echte MFA want MFA vereist het gebruik van verschillende factoren.
Iedereen in het bezit van de browserdata / cache kan het wachtwoord achterhalen.
De combinatie van een opgeslagen wachtwoord er en een andere possession factor is daarom geen echte MFA want MFA vereist het gebruik van verschillende factoren.
Misschien is een wachtwoord manager wel gemakkelijk voor de sleepnetters, die straks overal bij moeten kunnen.
Of ben ik nu te achterdochtig geworden door het vele gedoe en gedraai de laatste tijd?
Of ben ik nu te achterdochtig geworden door het vele gedoe en gedraai de laatste tijd?
Wat ik heel erg raar vind, voorheen kon je gewoon aangeven of je je aanmelding wilt opslaan.
Ik mijn geval: Ja, hoef ik dat niet steeds in te tikken
Nu kan ik dat niet meer in FF, ik moet ook meteen mijn wachtwoord opslaan
En nee, dat wil ik niet, dat zit wel in mijn hoofd
En wat ik ook probeer, ik krijg het maar niet voor elkaar om alleen mijn gebruikers naam te onthouden en verder niets. Hele rare ontwikkeling.
En wat ik nog raarder vind, mijn aanmeldnaam bij followthemoney onthoud FF wel en bij mijn
emailprovider 'protonmail' dan weer niet.
Daar moet ik dus elke keer een hele rits dingen intypen.
Ik mijn geval: Ja, hoef ik dat niet steeds in te tikken
Nu kan ik dat niet meer in FF, ik moet ook meteen mijn wachtwoord opslaan
En nee, dat wil ik niet, dat zit wel in mijn hoofd
En wat ik ook probeer, ik krijg het maar niet voor elkaar om alleen mijn gebruikers naam te onthouden en verder niets. Hele rare ontwikkeling.
En wat ik nog raarder vind, mijn aanmeldnaam bij followthemoney onthoud FF wel en bij mijn
emailprovider 'protonmail' dan weer niet.
Daar moet ik dus elke keer een hele rits dingen intypen.
Reageren
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
