Google: hoofdwachtwoord geeft vals gevoel van veiligheid
Google Chrome gebruikt geen hoofdwachtwoord om in de browser opgeslagen wachtwoorden te beschermen, omdat dit gebruikers een vals gevoel van veiligheid geeft. Browsers zoals Firefox geven gebruikers de mogelijkheid om opgeslagen wachtwoorden via een 'master password' te beschermen, in het Nederlands een hoofdwachtwoord genoemd. Iemand die toegang tot de browser heeft kan daardoor niet meteen alle opgeslagen wachtwoorden zien.
Webontwikkelaar Elliott Kember ontdekte dat Google Chrome geen hoofdwachtwoord gebruikt. Opgeslagen wachtwoorden zijn direct zichtbaar voor iedereen die toegang tot de browser heeft. Volgens Kember zou Google dit duidelijker naar gebruikers toe moeten communiceren. "Elke dag slaan miljoenen gebruikers hun wachtwoorden op in Chrome, dit is niet oké", aldus Kember.
Theater
Google engineer Justin Schuh, tevens beveiligingschef van Google Chrome, verklaart op Hacker News waarom de ontwikkelaars bewust hebben gekozen om een hoofdwachtwoord achterwege te laten. De enige beveiliging van de opgeslagen wachtwoorden is het account van de gebruiker. Chrome gebruikt de versleutelde opslag die door het besturingssysteem wordt geboden om wachtwoorden te beschermen. Alle overige beveiligingsmaatregelen worden door Schuh "theater" genoemd.
Een aanvaller die toegang tot het account krijgt kan alle sessiecookies van de gebruiker dumpen, zijn cookies en surfgeschiedenis stelen, maar ook bijvoorbeeld kwaadaardige extensies installeren om alle surfactiviteiten te onderscheppen. Ook kan de aanvaller monitoringsoftware op het account installeren.
Vals gevoel van veiligheid
"Zodra de aanvaller toegang tot je account heeft is het voorbij, omdat er gewoon teveel vectoren voor hem zijn om te krijgen wat hij wil", merkt Schuh op. De Google-ontwikkelaars zouden regelmatig hebben afgevraagd of ze geen hoofdwachtwoord moesten implementeren. "Zelfs als we denken dat het niet werkt", gaat Schuh verder. Uiteindelijk kwamen de ontwikkelaars altijd tot de conclusie dat het gebruikers een "vals gevoel van veiligheid geeft" en risicovol gedrag aanmoedigt.
Eerder werd er al naar de veiligheid van opgeslagen wachtwoorden gekeken. Toen bleek dat Google Chrome en Internet Explorer de minste weerstand tegen een aanvaller bieden. Het master password van Firefox zou echter lastig te kraken zijn als de gebruiker een sterk wachtwoord kiest.
Ben het niet met Google eens, als je iets kunt doen om de drempel te verhogen lijkt me dat goed.
Ben het niet met Google eens, als je iets kunt doen om de drempel te verhogen lijkt me dat goed.
Zomaar een complotje, maar zou Google er baat bij hebben dat er geen Master Password op de gegevens zit ?
Firefox heeft hetzelfde probleem als je geen hoofdwachtwoord instelt. Daarom geef ik de voorkeur aan Safari. Daar heb je standaard nooit toegang tot de wachtwoorden zonder dat je een account of sleutelhanger wachtwoord opgeeft.
Dus als je het wachtwoord al via Safari opgeslagen hebt, kun je ook Chroom toestemming geven dit wachtwoord te gebruiken.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.