Chrome-extensie die wachtwoorden controleert groot succes
Een Chrome-extensie van Google die controleert of wachtwoorden van gebruikers niet via verschillende datalekken op straat zijn beland is een groot succes, zo heeft de internetgigant bekendgemaakt. Password Checkup, zoals de extensie heet, werd begin februari gelanceerd.
In de eerste drie weken passeerde de extensie de 650.000 gebruikers en inmiddels hebben meer dan 820.000 mensen Password Checkup geïnstalleerd. De extensie is te vergelijken met de dienst Have I Been Pwned en waarschuwt gebruikers als hun gebruikersnaam en wachtwoord in een verzameling van meer dan 4 miljard gelekte inloggegevens voorkomen.
"Accounts die zijn blootgesteld via een datalek hebben 11,6 meer kans om te worden gecompromitteerd, met name omdat veel gebruikers hun wachtwoord voor meerdere websites hergebruiken", zegt Elie Bursztein van Google, die bij de ontwikkeling van de extensie betrokken was. Volgens Bursztein waren er twee belangrijke ontwerpprincipes. Namelijk dat Google niets over geteste inloggegevens leerde en dat criminelen de programmeerinterface (API) niet konden gebruiken om een database van gestolen inloggegevens te creëren. Dit moest daarnaast op zo'n manier worden gedaan dat het te bewijzen was.
Zodra Google een datalek ontdekt maakt het van de aanwezige gebruikersnamen en wachtwoorden een gehashte en versleutelde kopie, met een onversleutelde hash prefix van twee bytes. Wanneer gebruikers met Chrome ergens op een website inloggen verstuurt de extensie een gehashte en versleutelde kopie van de gebruikersnaam en het wachtwoord naar Google, waarbij de internetgigant alleen de hash prefix ziet.
Vervolgens wordt in de verzameling van meer dan 4 miljard gelekte gegevens gezocht naar elke onveilige gebruikersnaam en wachtwoord die dezelfde prefix hebben. Als laatste wordt lokaal op het systeem van de gebruiker gekeken of de ingevoerde inloggegevens in een datalek voorkomen. Wanneer dit het geval is krijgt de gebruiker een waarschuwing te zien met het advies om het gebruikte wachtwoord te resetten.
"Password Checkup is allesbehalve perfect en er valt nog veel te doen voordat het zijn volledige potentieel bereikt. Hopelijk zullen wachtwoorden ooit tot het verleden behoren, maar tot dan blijft het proactief resetten van gecompromitteerde inloggegevens een belangrijke verdedigingsmaatregel die gebruikers nodig hebben", merkt Bursztein op, die in deze blogposting de werking van de extensie in uitgebreid technisch detail bespreekt.
Als je voor elk wachtwoord een andere lange random reeks gebruikt, is de kans daarop natuurlijk wel heel erg klein.
Als je voor elk wachtwoord een andere lange random reeks gebruikt, is de kans daarop natuurlijk wel heel erg klein.
En hoe weet je deze verschillende lange wachtwoorden voor elke login te onthouden? Schrijf je ze op.. ,gebruik je een wachtwoord manager,of heb je ergens een wachtwoorden bestand opgeslagen.
Ik ben er erg in geïnteresseerd hoe ik het best en veiligst met mijn wachtwoorden moet/kan omgaan.
Momenteel gebruik ik de gratis versie van Dashlane ...
Daar gaat het niet om. Het gaat erom dat we een cultuur kweken waarbij het aanvaard is om een extensie je wachtwoorden te laten verwerken. Of ze je wachtwoorden dan hashen en braafjes alleen de eerste paar tekens op een API afvuren, *of* het hele wachwoord in plain-tekst naar de extensie-maker sturen, daar heb je als eindgebruiker het raden naar...
Als je voor elk wachtwoord een andere lange random reeks gebruikt, is de kans daarop natuurlijk wel heel erg klein.
En hoe weet je deze verschillende lange wachtwoorden voor elke login te onthouden? Schrijf je ze op.. ,gebruik je een wachtwoord manager,of heb je ergens een wachtwoorden bestand opgeslagen.
Ik ben er erg in geïnteresseerd hoe ik het best en veiligst met mijn wachtwoorden moet/kan omgaan.
Momenteel gebruik ik de gratis versie van Dashlane ...
Ik gebruik al jaren KeePass (mobiel, laptop). Sync naar mijn eigen server thuis.
Werkt perfect en eigenlijk hoef je dan geen wachtwoorden meer te onthouden behalve het wwachtwoord voor Keepass dan :-)
Dit is tenminste niet een online diens zoals Lastpass, waar het toch fout kan gaan en volgens mij ook al een keer gebeurd is.
Dashlane ken ik verder niet. Ik hoop alleen, dat het niet een cloud versie is.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.