In het algemeen enkel als er een screencapture actief is zal dat een risicotje zijn of als iemand aan het shoulder surfen is.
Je kan natuurlijk altijd corner stone cases bedenken.

Nee, dat is geen risico .

Die sterretjes/balletjes zijn een een mitigatie van een - normaal gesproken - heel marginaal risico , en helaas met een groot nadeel : ze zorgen ervoor dat mensen een een "makkelijk te typen" password gaan kiezen, omdat het goed invoeren van een serieus password te vaak misgaat .

Ze dateren uit de tijd van computer lokalen op scholen en universiteiten, en Internet caf'é's waar mensen heel makkelijk over de schouder konden zien wat iemand als password intikte ; Zeker als het een één-vinger tikker is.

Als praat over malicious software die meekijkt vanaf het device heb je eigenlijk de race al verloren - het is erg naief om een threat model te hebben waarin de malicious software _wel_ de inhoud van het scherm kan zien, maar om de een of andere reden _niet_ de toetsenbord invoer van de gebruiker.

Ja - het is (wat)makkelijk om fysiek mee te lezen van een scherm, dan mee te lezen met typende vingers. Maar je moet daar niet echt op vertrouwen, en nog minder als een camera meekijkt, want dan kan de aanvaller gewoon heen en weer spoelen om je vingers (evt vertraagd) te volgen.

Dus : niks geheims invoeren als iemand kan meekijken. Met of zonder bolletjes in het password veld .

Als er niemand meekijkt : gewoon zichtbaar maken, zodat je je serieus goede password goed kunt invoeren niet tegen de 3/5/7 x fout invoeren is geblokkeerd limiet aanloopt.

Helaas is dit ook zo'n maatregel die allerlei consultants en auditors in hun afvink-spreadsheet hebben staan (want het is zo simpel te controleren of het aan staat), dus bevriest het als "moet nou eenmaal voor security" .

Het gaat alleen om hoe het wachtwoord getoond wordt op het scherm. Voor hoe het wachtwoord over de lijn gaat naar de server maakt het geen enkel verschil.

Bekijk het zo: die server heeft om jou in te kunnen loggen exact dezelfde gegevens nodig, ongeacht de vraag of jij je wachtwoord onzichtbaar laat of zichtbaar laat weergeven. Aangezien de server exact hetzelfde moet ontvangen in die twee situaties moet de client (jouw browser of een andere applicatie waarmee je werkt) ook exact hetzelfde versturen, en gaat er exact hetzelfde over de lijn.

Ik zie op Twitch.tv (in de browser) soms wachtwoorden voor een spel waarin je kan meedoen met de streamer. Deze hebben sterretjes, maar je schijnt erop te kunnen klikken en dan staat het wachtwoord (zonder sterretjes) op je klembord. Ik denk niet dat dit werkt met niet live uitzendingen.

Ik zie dit vooral bij Among Us.

Ik neem aan dat het om websites gaat. Als je naar een site gaat met https dan wordt je wachtwoord versleuteld verzonden. Dus tijdens het transport is het versleuteld, echter iemand kan aan jouw kant meekijken (of aan de ontvangende kant)

Het wachtwoord zichtbaar maken, maakt je kwetsbaar voor over je schouder meekijkende anderen, dus kijk goed om je heen als je dat doet, en doe het allen als het nodig is.... Screen capture malware/virus (of een teams/zoom etc sessie) kan het wachtwoord ook delen met derden.....

Als het een app betreft, dan kan je meestal niet zien of het wachtwoord versleuteld wordt verzonden....

Er is geen verschil; het is enkel relevant voor mensen die jouw scherm kunnen zien.

Wanneer je je wachtwoord in een wachtwoord-vak typt, is de daadwerkelijke inhoud van dat vakje gewoon daadwerkelijk jouw wachtwoord, en dat is ook hetgeen dat er verstuurd wordt, ongeacht of jij op je scherm een weergave van sterretjes of letters ziet.

De maskering met sterretjes is puur voor op jouw beeldscherm om te zorgen dat mensen die jouw scherm kunnen zien (fysiek, of op afstand via een programma om je scherm mee te delen) niet mee kunnen lezen.

De sterretjes zijn geen online beveiliging dit is puur voor jou als lezer de server aan de andere kant verstuurd als het goed is alles versleuteld van en naar je browser.

Je kan een wachtwoord manager gebruiken zodat het wachtwoord en inlog automatisch wordt ingevuld aan de hand van al voor ingegeven data. Je hoeft dan geen controle meer te doen op de gegevens enkel je hoofdwachtwoord moet je wel uiteraard intypen voor toegang tot een kluis. En als iemand met je meekijkt kan dat natuurlijk wel opgenomen worden. Daarom dat er vaak een secret ID nog zit gekoppeld zodat iemand die het probeert op een eigen systeem er nog steeds niet bij kan.

Er zijn meerdere leveranciers op de markt je zult zelf even een afweging moeten maken welke je wilt gebruiken en of enkel lokaal of ook in cloud. Bedenk daarbij wel dat je de risico's niet zo zeer verkleint maar meer veranderd.

Dat gezegd wachtwoordmanagers in combinatie met Multifactor Authenticatie of OTP's zijn voor de meeste mensen goedgenoeg en voor veel al overkill.

"There is no such thing as a dumb question."

____ Carl Sagan (1934–1996) , sterrenkundige


https://en.wikipedia.org/wiki/No_such_thing_as_a_stupid_question

Ik ben de topicstarter...

Hartelijk dank voor alle antwoorden!
Het is mij nu duidelijk hoe het werkt. Wat mij betreft mag deze topic gesloten worden.

Nogmaals dank voor jullie hulp!

Wanneer Google recaptcha actief is op de site is dit mogelijk gevaarlijk. Aangezien Google een screenshot van de pagina maakt.

Jawel hoor!
Dat is een ongestelde vraag.

Jawel hoor!
Dat is een ongestelde vraag.[/quote]Zelfs dat niet. Een ongestelde vraag is een vraag die ooit nog een keer gesteld gaat worden, en daar is het nooit te laat voor.

Als het wachtwoord zichtbaar op het scherm verschijnt, staat het in video-geheugen, en kan het wachtwoord zich herkenbaar in het video-geheugen van je computer bevinden. Is het video-geheugen gescrambled dan is het niet gemakkelijk herkenbaar. Maar vaak weet je niet hoe het videogeheugen is georganiseerd: gescrambled of niet.

Punt is dat hackers (of malware) zich theoretisch toegang zouden kunnen verschaffen tot unscrambled videogeheugen,
hetzij via een DMA attack of misschien rechtstreeks.
Als dit gebeurt, dan is er een kans dat de hacker of malware het "plain" wachtwoord ontdekt dat jij hebt ingetikt.

De kans lijkt me echter wel zeer klein, omdat het niet eenvoudig is om zoiets te doen.
Veel vaker krijgt men te maken met mensen die stiekem over je schouder het wachtwoord meelezen,
of een apparaatje dat stiekem tussen toetsenbord en computer is gezet ("keylogger") om al je toetsaanslagen op te slaan, en later door de hacker wordt uitgelezen. (hiervoor moet men dan wel fysiek bij je computer kunnen komen).

Conclusie: het is veiliger om het wachtwoord niet in beeld te laten verschijnen,
en ook elke keer voordat je het wachtwoord intoetst goed te controleren of er geen keylogger is aangesloten en dat niemand meekijkt (ook niet door een raam of door een verdekt opgestelde camera die je toetsaanslagen registreert)
Maar soms zijn de risico's in jouw omgeving zo klein, dat het gemak zwaarder weegt.
Dit kan een reden zijn om het wachtwoord in beeld te laten verschijnen bij het intoetsen,

Waarom denk je zo moeilijk over video geheugen ?
Dat wachtwoord zit ook ergens "gewoon" in systeemgeheugen, waar het vanuit de keyboard handler in de applicatie (meestal browser) terecht gekomen is.


Die conclusie drijft op zand , afgezien van schouder kijkers die dan misschien net niet goed genoeg je vingers kunnen volgen.

En het wachtwoord dat je intikt onzichtbaar houden helpt al helemaal niet tegen keyboard loggers !


Niet alleen maar luiheid - een "lastig" (=goed) password , gecombineerd met een lockout na X pogingen leer je wel af wanneer het intikken te vaak misgaat .

Dit is alleen voor mensen die anders zouden kunnen zien wat er op je scherm staat. (nl. welk wachtwoord je gebruikt).
Want zoiets zou de kans aanzienlijk verhogen dat men later onbevoegd op je account kan inloggen
en daar vervolgens van alles kan bespioneren en uitspoken.