Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Wachtwoorden in Chrome verdwenen

08-06-2021, 09:46 door waterlelie, 31 reacties
Vanmorgen toen ik de computer had opgestart, en de email wilde checken, bleek dat de gebruikersnaam en het wachtwoord niet zichtbaar werden. Nadat ik de wachtwoorden instelling in Chrome controleerde, bleek zelfs dat alle wachtwoorden verdwenen waren, op 5 na, die ik feitelijk nooit meer gebruik. Nu heb ik daarvan wel een backup, maar voordat ik deze weer installeer lijkt het mij verstandig om eerst eens uit te vissen, wat hier gebeurt is. Wie heeft een idee van wat er hier gebeurt is..
Reacties (31)
08-06-2021, 09:48 door Anoniem
Door waterlelie: Vanmorgen toen ik de computer had opgestart, en de email wilde checken, bleek dat de gebruikersnaam en het wachtwoord niet zichtbaar werden. Nadat ik de wachtwoorden instelling in Chrome controleerde, bleek zelfs dat alle wachtwoorden verdwenen waren, op 5 na, die ik feitelijk nooit meer gebruik. Nu heb ik daarvan wel een backup, maar voordat ik deze weer installeer lijkt het mij verstandig om eerst eens uit te vissen, wat hier gebeurt is. Wie heeft een idee van wat er hier gebeurt is..
Ze zijn gewist...

Of een bug, of een hacker of een user error.
08-06-2021, 09:53 door Anoniem
Wat er gebeurd is is lastig te zeggen zonder aanvullende informatie. In het verleden is het vaker gebeurd dat bijvoorbeeld na een update wachtwoorden uit Chrome verdwenenen zijn. Nu zou ik je sowieso willen meegeven dat het opslaan van wachtwoorden in browsers onverstandig is. Het is relatief eenvoudig voor een aanvaller om jouw inlognamen en wachtwoorden uit je browser te stelen, gebruikt dus bijvoorkeur een password manager en sla je wachtwoorden niet meer op in je browser...
08-06-2021, 10:17 door waterlelie
Mijn dank voor de informatie
08-06-2021, 11:38 door Anoniem
Hoi waterlelie,

Iets dergelijks meegemaakt recentelijk via een Chrome browser extensie update.
Ik draai wat zelfgemaakte of aangepaste scripts onder de Tampermonkey extensie.
Ineens foetsie allemaal weg. Gelukkig elders bewaard, dus gewoon terug kunnen zetten.

Daarom hou ik niet van password managers en initiatieven als die van Troy Hunt (allerlei soort retentie feitelijk).
Hou het liever onder eigen beheer, tenminste als het niet anders kan, maar dan nog.

Maar ja als je software alleen maar mag "vasthouden" en voor je beslist wordt wat ermee kan worden gedaan,
krijg je dit soort zaken. Ik deel dus jouw zorgen,

#sockpuppet
08-06-2021, 13:18 door Bitje-scheef
Dit klinkt meer dat je profiel nooit is bijgewerkt. Er staat dan rechtsboven onderbroken. Je bent dan niet ingelogd zodat je profiel wordt bijgewerkt.
08-06-2021, 14:11 door waterlelie
Door Bitje-scheef: Dit klinkt meer dat je profiel nooit is bijgewerkt. Er staat dan rechtsboven onderbroken. Je bent dan niet ingelogd zodat je profiel wordt bijgewerkt.

Ik heb maar 1 profiel, en dat is als eigenaar. Als ik daarop klik, en daarna op de sleutel (wachtwoorden) dan zie ik dus 5 oude en niet meer door mij gebruikte gebruikersnamen en wachtwoorden.
Ik heb inmiddels de gratis wachtwoordmanager LastPass geïnstalleerd, en ben nu aan het uitvogelen hoe een en ander daarin werkt.
08-06-2021, 14:35 door Nova
Door waterlelie:
Door Bitje-scheef: Dit klinkt meer dat je profiel nooit is bijgewerkt. Er staat dan rechtsboven onderbroken. Je bent dan niet ingelogd zodat je profiel wordt bijgewerkt.

Ik heb maar 1 profiel, en dat is als eigenaar. Als ik daarop klik, en daarna op de sleutel (wachtwoorden) dan zie ik dus 5 oude en niet meer door mij gebruikte gebruikersnamen en wachtwoorden.
Ik heb inmiddels de gratis wachtwoordmanager LastPass geïnstalleerd, en ben nu aan het uitvogelen hoe een en ander daarin werkt.
Zelf voorstander van Keepass en Yubi/Titan sleutels, is dat niet iets voor je?
08-06-2021, 14:45 door waterlelie
Door Nova:
Door waterlelie:
Door Bitje-scheef: Dit klinkt meer dat je profiel nooit is bijgewerkt. Er staat dan rechtsboven onderbroken. Je bent dan niet ingelogd zodat je profiel wordt bijgewerkt.

Ik heb maar 1 profiel, en dat is als eigenaar. Als ik daarop klik, en daarna op de sleutel (wachtwoorden) dan zie ik dus 5 oude en niet meer door mij gebruikte gebruikersnamen en wachtwoorden.
Ik heb inmiddels de gratis wachtwoordmanager LastPass geïnstalleerd, en ben nu aan het uitvogelen hoe een en ander daarin werkt.
Zelf voorstander van Keepass en Yubi/Titan sleutels, is dat niet iets voor je?

Bedankt voor de tip, maar als LastPass goed werkt, dan ben ik ook tevreden..
08-06-2021, 14:46 door Anoniem
1. Als je privacy je iets waard is, gebruik geen Chrome (of welk ander Google product). Google's hele bestaan draait om het verzamelen van data en dit verkopen tegen de hoogste prijs die ze kunnen krijgen.

2. Sla je wachtwoorden niet op in je browser want: zie 1 en zie opmerking van Anoniem 09:53
08-06-2021, 17:54 door Anoniem
Door Anoniem: 1. Als je privacy je iets waard is, gebruik geen Chrome (of welk ander Google product). Google's hele bestaan draait om het verzamelen van data en dit verkopen tegen de hoogste prijs die ze kunnen krijgen.

Aanvulling: Ook via derden kom jij in aanmerking met Google. Zo wisselt Firefox standaard data uit met Google, websites (ook die van onze overheid) gebruiken massaal de 'gratis' diensten van Google etc. etc. Ook dit soort zaken kun je het beste vermijden/blokkeren zodat jouw profiel zo klein mogelijk blijft.
08-06-2021, 17:56 door Anoniem
Door Anoniem: Wat er gebeurd is is lastig te zeggen zonder aanvullende informatie. In het verleden is het vaker gebeurd dat bijvoorbeeld na een update wachtwoorden uit Chrome verdwenenen zijn. Nu zou ik je sowieso willen meegeven dat het opslaan van wachtwoorden in browsers onverstandig is. Het is relatief eenvoudig voor een aanvaller om jouw inlognamen en wachtwoorden uit je browser te stelen, gebruikt dus bijvoorkeur een password manager en sla je wachtwoorden niet meer op in je browser...
Tja, ik gebruik de wachtwoordmanager voor allerlei onbelangrijke web sites, en inderdaad een password manager voor de echt belangrijke (en sommige gewoon alleen op papier). Let wel op dat je bv. voor wachtwoord herstel email adressen gebruikt die niet in de password manager van je browser zitten.
08-06-2021, 22:05 door Anoniem
Door Anoniem:
Door Anoniem: 1. Als je privacy je iets waard is, gebruik geen Chrome (of welk ander Google product). Google's hele bestaan draait om het verzamelen van data en dit verkopen tegen de hoogste prijs die ze kunnen krijgen.

Aanvulling: Ook via derden kom jij in aanmerking met Google. Zo wisselt Firefox standaard data uit met Google....

En dat noemen ze dan "safebrowsing". Dat is het aas.
De vis is je data van wat je allemaal op internet doet.
(welke sites je bezoekt e.d. om zo je interesses na te speuren, zodat Google je een "betere service" kan geven,
maar met nog altijd de websites die het meest aan Google betalen bovenaan wanneer je op Google iets opzoekt...
09-06-2021, 13:02 door Anoniem
Gebruik Bitwarden :)
12-06-2021, 18:20 door Anoniem
Waarschijnlijk heb je je ww op de verkeerde plek bewaard.
https://www.security.nl/posting/707248/Autoriteiten+halen+marktplaats+met+miljoenen+gestolen+wachtwoorden+offline
15-06-2021, 22:07 door waterlelie
Inmiddels zijn we bijna een week verder, en heb ik getracht om de oorzaak van deze plotselinge verdwijning van mijn wachtwoorden in Chrome te verklaren. Ik heb dan ook LastPass even uitgeschakeld,om handmatig meerdere accounts in de chrome wachtwoorden op te slaan. Dat lukt prima, met één uitzondering, en dat is mijn gmail account.
Als ik mijn gmail account activeer, krijg ik geen vraag of ik dit account in Chrome wachtwoorden wens op te slaan.
De lijst "Nooit opgeslagen" is leeg.

De vraag is nu, heeft iemand hiervoor een verklaring.
De optie: aanbieden wachtwoorden op te slaan staat aan
De optie: Automatisch inloggen staat ook aan
15-06-2021, 22:56 door Anoniem
Check eens of je met een Google-account, in de browser zelf, bent ingelogd.
16-06-2021, 05:44 door Anoniem
Door waterlelie: Inmiddels zijn we bijna een week verder, en heb ik getracht om de oorzaak van deze plotselinge verdwijning van mijn wachtwoorden in Chrome te verklaren. Ik heb dan ook LastPass even uitgeschakeld,om handmatig meerdere accounts in de chrome wachtwoorden op te slaan. Dat lukt prima, met één uitzondering, en dat is mijn gmail account.
Als ik mijn gmail account activeer, krijg ik geen vraag of ik dit account in Chrome wachtwoorden wens op te slaan.
De lijst "Nooit opgeslagen" is leeg.

De vraag is nu, heeft iemand hiervoor een verklaring.
De optie: aanbieden wachtwoorden op te slaan staat aan
De optie: Automatisch inloggen staat ook aan
Chrome zal die wachtwoorden in een database opslaan. Databases kunnen corrupt raken. Ik kan niet beoordelen of dat bij jou nu het geval is, maar het lijkt me een mogelijkheid. Als ergens in zo'n database een fout is geslopen die door de gebruikte database-engine niet of niet volledig wordt herkend en gecorrigeerd, en waarop die niet crasht (wat best prettig zou zijn want dan wordt de fout veel concreter) dan is het best mogelijk dat je vreemd en onvoorspelbaar gedrag ziet waar moeilijk een touw aan vast te knopen is. Alles wat je ziet zou onder dat soort vreemd en onvoorspelbaar gedrag kunnen vallen.

Hoe je zoiets oplost? Ik gebruik zelf Chromium (niet Chrome) maar incidenteel, gebruik KeepassXC voor mijn wachtwoorden, dus ik kan geen kennis en ervaring met de Chrome-wachtwoorddatabase aandragen waar jij wat aan hebt. Mogelijk, maar ik doe maar een gooi, wordt zo'n databasebestand opnieuw aangemaakt als het ontbreekt en is het een kwestie van opsporen welk bestand het is en het weggooien.

Misschien zijn er mensen die wel goed thuis zijn in Chrome die iets hier iets zinnigs over kunnen melden.
16-06-2021, 10:58 door waterlelie
Misschien was ik niet geheel duidelijk. Bij alle accounts waar ik moet inloggen met een gebruikersnaam en wachtwoord vraagt chrome mij of ik dit account wil opnemen in de wachtwoorden, behalve als ik inlog bij mijn Gmail account. In dat geval wordt die vraag niet aan mij gesteld, en word en kan dit account dus ook niet worden toegevoegd.

Toen alle opgeslagen wachtwoorden op enkele niet meer gebruikte gebruikersnamen en wachtwoorden allemaal bleken te zijn verdwenen, was het Gmail account gewoon aan de wachtwoordenlijst toegevoegd.
Dit is dus nu niet meer mogelijk.
16-06-2021, 16:31 door Anoniem
Bij Chrome word je standaard ingelogd met jouw Google account, dus dat hoeft ook helemaal niet opgeslagen te worden. Mogelijk is dat de reden waarom dat niet kan, je bent namelijk al ingelogd.
Google heeft dit zo gemaakt dat dit vrijwel niet opvalt. Aangezien de meeste hier niet van afweten cq het besef hebben.

Helaas wordt dit nergens duidelijk uit jouw verhaal, zie ook de reactie van 22:56 waar geen antwoord op komt.
16-06-2021, 20:12 door waterlelie
Door Anoniem: Bij Chrome word je standaard ingelogd met jouw Google account, dus dat hoeft ook helemaal niet opgeslagen te worden. Mogelijk is dat de reden waarom dat niet kan, je bent namelijk al ingelogd.
Google heeft dit zo gemaakt dat dit vrijwel niet opvalt. Aangezien de meeste hier niet van afweten cq het besef hebben.

Helaas wordt dit nergens duidelijk uit jouw verhaal, zie ook de reactie van 22:56 waar geen antwoord op komt.

Sorry daarvoor, maar ik heb nog nooit voor het gebruik van Chrome met een google account ingelogd. Het staat ook duidelijk aangegeven "Niet ingelogd".
Wat nu opvalt, is dat alle accounts waar ik voor moet inloggen met een gebruikersnaam en wachtwoord Chrome mij vraagt of ik dit account in de wachtwoordenlijst wil opslaan. Behalve mijn Gmail account, als ik bij deze inlog, vraagt Chrome mij niet of ik dit account wil laten opslaan in de wachtwoordenlijst.

Dit is niet een fout, maar policy, alleen waarom weet niemand hier iets van.
Als laatste in Firefox worden bij alle dus ook bij het Gmail account mij gevraagd of het account in de wachtwoordenlijst moet worden opgeslagen
16-06-2021, 20:43 door Anoniem
Ga naar het Google Chrome forum en stel daar je vraag. Log verder gewoon in met je account op de browser zelf, door dit niet te doen, en dat geeft u zelf aan, worden wachtwoorden niet in het account opgeslagen. Bij updates is alles weg. Ingelogd wordt alles bewaard achter https://passwords.google.com/
16-06-2021, 22:25 door [Account Verwijderd] - Bijgewerkt: 16-06-2021, 22:28
@ Beste waterlelie,

Ik doe ook maar een gooi omdat mij enige kennis van hoe dit exact komt ook ontgaat, maar zou het misschien zo kunnen zijn dat Google ervan uitgaat dat je Chrome als basis; als bron voor al hun Internetdiensten gebruikt?
Dus indien in Chrome ingelogd je daarin je wachtwoord opslaat inclusief voor Gmail, en daarna niet meer om een wachtwoord voor Gmail wordt gevraagd, inclusief de suggestie om dat op te slaan.

Ik kan het zelf niet controleren hoewel ik al heel lang, zeker 14 jaar o.i.d. een Gmail account heb maar dit gebruik in eenvoudige html weergave en daarnaast alleen Chromium gebruik voor uitsluitend het ING bank webportal, dus geen Chrome als 'websurfer gebruik, maar daar voor Firefox.

Vraag:

Wat gebeurt er in Gmail als je in Chrome uitvinkt "aanbieden wachtwoorden op te slaan" (1)
Wordt in Gmail dan wel gevraagd of je het wachtwoord wil opslaan?

(1)
Zo wordt het genoemd in Chromium. Ik neem aan ook in Chrome, want in Chromium is deze setting te vinden in: chrome://settings/password)
16-06-2021, 23:44 door waterlelie
Door Glasharmonica: @ Beste waterlelie,

Ik doe ook maar een gooi omdat mij enige kennis van hoe dit exact komt ook ontgaat, maar zou het misschien zo kunnen zijn dat Google ervan uitgaat dat je Chrome als basis; als bron voor al hun Internetdiensten gebruikt?
Dus indien in Chrome ingelogd je daarin je wachtwoord opslaat inclusief voor Gmail, en daarna niet meer om een wachtwoord voor Gmail wordt gevraagd, inclusief de suggestie om dat op te slaan.

Ik kan het zelf niet controleren hoewel ik al heel lang, zeker 14 jaar o.i.d. een Gmail account heb maar dit gebruik in eenvoudige html weergave en daarnaast alleen Chromium gebruik voor uitsluitend het ING bank webportal, dus geen Chrome als 'websurfer gebruik, maar daar voor Firefox.

Vraag:

Wat gebeurt er in Gmail als je in Chrome uitvinkt "aanbieden wachtwoorden op te slaan" (1)
Wordt in Gmail dan wel gevraagd of je het wachtwoord wil opslaan?

Als die optie uitstaat, dan wordt vanzelfsprekend nooit gevraagd of ik een wachtwoord wil opslaan, dus ook niet voor Gmail.
Ik gebruik Chrome, net als elke ander browser zoals Firefox, en bij geen van beide log ik in.

Bij mij staat in de instellingen "Synchronisatie en Google-services" de optie Inloggen bij Chrome toestaan
Als je dit uitzet, kun je inloggen bij Google-sites zoals Gmail zonder in te loggen bij Chrome.
Deze optie heb ik altijd al uit staan.
Deze optie dient alleen maar voor Google om alle aan haar gerelateerde diensten aan elkaar te verbinden, en daar heb ik geen trek in. Ook dient die optie aan te staan om de wachtwoordmanager van Google te gebruiken.

Dit staat echter geheel buiten de wachtwoordlijst die Chrome en ook Firefox gebruiken. Voorheen werd daarin voor elk account waarbij moest worden ingelogd, waaronder ook Gmail gevraagd of dit in de wachtwoordenlijst moest worden opgeslagen. En nu wordt die vraag bij inloggen van een Gmail account nooit meer gevraagd, en dus moet ik, als ik de wachtwoordmanager LastPass uitschakel het Gmail account handmatig invoeren.

Nu kan ik wel speculeren waarom Google de gebruiker ergens toe wil dwingen, maar ik had gehoopt dat hier op dit forum mensen zouden zijn, die hierover meer weten.
Als dat niet zo is, dan sluit ik de discussie.
23-06-2021, 09:13 door wallum
Chrome werkt met profielen waarin persoonlijke instellingen zoals opgeslagen wachtwoorden, bookmarks en andere instellingen worden bewaard. Soms is zo'n profiel corrupt of er gaat iets anders mis, bijvoorbeeld niet goed bijgewewerkt na een Chrome-update (de profielen zijn niet backwards compatible). In zo'n geval start Chrome automatisch met een nieuw standaardprofiel en ben je al je opgeslagen instellingen, wachtwoorden en bookmarks kwijt.

Als dit gebeurt is het oude profiel meestal nog wel opgeslagen op de PC: klik op het persoons-icoontje rechtsboven en dan op het tandwieltje achter 'other profiles'. Vanuit daar kun je Chrome met het oude profiel starten (als dat niet teveel beschadigd is), en opnieuw instellen als het standaard-profiel.

Chrome koppelt standaard je Chrome-profiel aan je Google-account als je inlogt bij Google-diensten; je ziet het persoons-icoontje in Chrome veranderen als je inlogt op een Google-site en als je uitlogt op de Google-site ben je nog steeds ingelogd in Chrome met je Google-account. Iets om op te letten als je zo weinig mogelijk bij Google ingelogd wil zijn.
03-11-2021, 12:10 door Anoniem
Ik heb gisteren mijn IMAC ge-update naar mas-os Montery. Dat heeft blijkbaar een password manager. Wat ik op zich prima vind. Maar alle opgeslagen wachtwoorden in Chrome zijn nu weg en als ik het goed zie staan ze nu in die apple password manager. Als het goed zou gaan dan zou ik in Chrome nu gebruik moeten kunnen maken van die wachtwoorden in de apple password manager. Maar het gaat natuurlijk niet goed. Het duurde even voor ik daarachter was.

Dus blindelinks vertrouwen op de techniek is niet goed. De hele discussie over privacy ed daargelaten
03-11-2021, 15:18 door Anoniem
Door Anoniem: Ik heb gisteren mijn IMAC ge-update naar mas-os Montery. Dat heeft blijkbaar een password manager. Wat ik op zich prima vind. Maar alle opgeslagen wachtwoorden in Chrome zijn nu weg en als ik het goed zie staan ze nu in die apple password manager. Als het goed zou gaan dan zou ik in Chrome nu gebruik moeten kunnen maken van die wachtwoorden in de apple password manager. Maar het gaat natuurlijk niet goed. Het duurde even voor ik daarachter was.

Dus blindelinks vertrouwen op de techniek is niet goed. De hele discussie over privacy ed daargelaten
Sleutelhangertoegang zit al een decenia in MacOSX zelfs als je het in Chrome opslaat gaat het automatisch in die sleutelhanger tenzij je de sleutelhanger via terminal deactiveerd wat niet officieel wordt ondersteund en voor veel problemen kan zorgen met reguliere toegang tot applicaties die wachtwoord opslag vereisen (lees Apple mail bijvoorbeeld)

Daarintegen trekt chrome deze data *niet* uit de sleutelhangertoegang dat willen ze niet want ze willen dat je hun functie gebruikt maar ze kunnen niet voorkomen dat het daarin komt. Google heeft besloten in 2015 juist het gebruik eruit te mikkeren toen het nog OS X Keychain support was. De iCloud keychain werkt als het goed is wel ook met Chrome direct.

De reden dat de gegevens weg zijn na je Mac update is meest waarschijnlijk door dat de caching, cookies en opslag database is vervangen. Je zou kunnen kijken naar laatste bewerking datum van de applicatie om dat te verifieren. Mijn advies maak altijd een export van je contactlijsten je wachtwoorden en van je mail en een algemene back-up voor roleback.

Blindelings vertrouwen op enig iets is onverstandig maakt niet uit wat het is. Zelfde dat mensen blindelings op backups vertrouwen en deze niet testen enzovoort.
04-11-2021, 11:04 door Anoniem
de vorige reactie is van mij, ik was abuis met mijn reactie. Inmiddels zie ik mijn wachtwoorden die in chrome staan weer. Ik heb de mac een keer gereboot. Dat verhaal van dat ik dacht dat de wachtwoorden van chrome naar de mac password manager waren gehaald enzo klopt dus wel volgens ook jullie verhaal, maar het was niet door de update.
Wel grappig dat je over backups begint, ik ben voor mijn werk nu backup aan het testen door te restoren :)

Je moet een systeem hebben, dat is wat ik doe. Ik heb op allerlei websites een account en ik laat tegenwoordig chrome een wachtwoord maken en dat slaat chrome dan op. Dan is het ww in ieder geval overal anders. Maar is op websites die er niet zo veel toe doen. Ik deel websites in naar belangrijkheid,
- sites waar ik 1 keer iets koop en een account moet aanmaken, minst belangrijk
- sites waar ik vaker iets koop, iets belangrijker en dat wachtwoord sla ik op in mijn password database
- sites met financiele gegevens, het wachtwoord kies ik zelf en sla het op, en ik gebruik altijd dubbele authenticatie.

Of soms kies ik een random wachtwoord en vergeet het gewoon, als ik daar dan weer moet zijn dan laat ik het gewoon resetten.
04-11-2021, 13:46 door Anoniem
Door Anoniem: de vorige reactie is van mij, ik was abuis met mijn reactie. Inmiddels zie ik mijn wachtwoorden die in chrome staan weer. Ik heb de mac een keer gereboot. Dat verhaal van dat ik dacht dat de wachtwoorden van chrome naar de mac password manager waren gehaald enzo klopt dus wel volgens ook jullie verhaal, maar het was niet door de update.
Wel grappig dat je over backups begint, ik ben voor mijn werk nu backup aan het testen door te restoren :)

Je moet een systeem hebben, dat is wat ik doe. Ik heb op allerlei websites een account en ik laat tegenwoordig chrome een wachtwoord maken en dat slaat chrome dan op. Dan is het ww in ieder geval overal anders. Maar is op websites die er niet zo veel toe doen. Ik deel websites in naar belangrijkheid,
- sites waar ik 1 keer iets koop en een account moet aanmaken, minst belangrijk
- sites waar ik vaker iets koop, iets belangrijker en dat wachtwoord sla ik op in mijn password database
- sites met financiele gegevens, het wachtwoord kies ik zelf en sla het op, en ik gebruik altijd dubbele authenticatie.

Of soms kies ik een random wachtwoord en vergeet het gewoon, als ik daar dan weer moet zijn dan laat ik het gewoon resetten.
Blij te horen dat het goed is gekomen.
En tja denk dat ieder in IT wel iemand kent die zijn haar back-ups niet test (helaas) het was even een makkelijk voorbeeld maar goed te horen dat je wel de test ook doorloopt.

Ik ben zelf geen voorstander van browser wachtwoord opslag omdat het vergeleken met wachtwoord diefstal van een applicatie die niet direct is verbonden met site bezoek vaak iets makkelijker gaat. (malicious plugin en je bent de beep) Zelf gebruiken we 1Password Enterprise maar goed dat is uiteraard een flavor ieder zijn eigen.

Wat ik wel wil meegeven zorg voor domein monitoring zoals bijvoorbeeld van Troy Hunter zijn bekende dienst als je eigen mail domein hebt. https://haveibeenpwned.com/DomainSearch Die wijze ben je eerder op de hoogte over ongein.
En als je gebruik maakt van een andere dienst dan kun je iedergeval handmatig jouw mail adres controleren op geregistreerde datalekken.

Daarnaast omtrent omgaan met eenmalige sites we werken zelf met plus adressing functie. Dus bijvoorbeeld winkel.tld+@emaildomain.tld Komt er ongein met winkel.tld vanaf een compleet ander domein ineens binnen dan weet je dat er ergens in hun traject je informatie is gelekt (kan uiteraard ook een van hun informatieverwerkers zijn geweest)
Het probleem hierbij is wel dat je consistent ermee moet zijn anders is de werking maar zeer beperkt. Het scheelt ook in het traject erna bewijslast omtrent datalek.

En qua MFA of OTP inderdaad zoveel mogelijk gebruiken.
En resetten van wachtwoorden om de zoveel tijd is ook helemaal niet erg maar controleer altijd wel even van te voren of je mail niet doorgeschakeld staat.
05-11-2021, 07:15 door Anoniem
Als je in Chrome je browser geschiedenis wil wissen dan staan de wachtwoorden ook.aan gevinkt als je op gegevens wissen drukt is alles weg.
Dus niet de wachtwoorden aanvinken.
Of beter een wachtwoord manager gebruiken.
Bitwsrden bijvoorbeeld.
05-11-2021, 12:06 door Briolet
Door Anoniem:…Ik ben zelf geen voorstander van browser wachtwoord opslag omdat het vergeleken met wachtwoord diefstal van een applicatie die niet direct is verbonden met site bezoek vaak iets makkelijker gaat. (malicious plugin en je bent de beep) Zelf gebruiken we 1Password Enterprise maar goed dat is uiteraard een flavor ieder zijn eigen.

Wat ik wel merk is dat sommige sites heel slecht geprogrammeerd zijn qua omgang met wachtwoorden. Op de mac gebruikt Safari de default wachtwoord manager. (Tot 2015 deed Chrome dat ook, dus kon je een wachtwoord vanuit beide browsers gebruiken)

In de Mac wachtwoord manager kun je aangeven of een applicatie een wachtwoord éénmalig kan opvragen, of permanent. Er zijn websites die soms wel drie keer het wachtwoord opvragen op hun inlogpagina. Als je dan geen permanente toegang wilt geven tot de sleutelhanger, moet je het hoofdwachtwoord dan 3x intikken. En bij de website eigenaar gaan klagen helpt niet, zodat ik uit armoede maar toestaat dat de browser het wachtwoord zo mag ophalen.

Ik heb geen idee hoe andere wachtwoord managers met dit soort sites omgaan. Klinkt dit fenomeen bij iemand bekend in de oren?
05-11-2021, 13:01 door Anoniem
Door Briolet:
Door Anoniem:…Ik ben zelf geen voorstander van browser wachtwoord opslag omdat het vergeleken met wachtwoord diefstal van een applicatie die niet direct is verbonden met site bezoek vaak iets makkelijker gaat. (malicious plugin en je bent de beep) Zelf gebruiken we 1Password Enterprise maar goed dat is uiteraard een flavor ieder zijn eigen.

Wat ik wel merk is dat sommige sites heel slecht geprogrammeerd zijn qua omgang met wachtwoorden. Op de mac gebruikt Safari de default wachtwoord manager. (Tot 2015 deed Chrome dat ook, dus kon je een wachtwoord vanuit beide browsers gebruiken)

In de Mac wachtwoord manager kun je aangeven of een applicatie een wachtwoord éénmalig kan opvragen, of permanent. Er zijn websites die soms wel drie keer het wachtwoord opvragen op hun inlogpagina. Als je dan geen permanente toegang wilt geven tot de sleutelhanger, moet je het hoofdwachtwoord dan 3x intikken. En bij de website eigenaar gaan klagen helpt niet, zodat ik uit armoede maar toestaat dat de browser het wachtwoord zo mag ophalen.

Ik heb geen idee hoe andere wachtwoord managers met dit soort sites omgaan. Klinkt dit fenomeen bij iemand bekend in de oren?
In 1Password maak je zelf alle velden aan of je laat het automatisch aanmaken bij eerste bezoek.
We hebben zelf de policy dat automatisch invullen *niet* is toegestaan alles moet via copy paste vanuit de keymanager gedaan worden.

Het nadeel van de automatisch invul functie in 1PW is dat als je je nog moet registreren het vaak sessieid links meeneemt. En nog een iritante is dat bij elk mail veld je een pop-up krijgt of je wilt inloggen met X waarde (als je de plug-in gebruikt) Voor reguliere gebruikers is dat ideaal maar als je bijvoorbeeld domeinen constant opzet is dat bloed iritant.
Reden is dat we mensen bewust willen houden van waar ze iets invullen.

Verder via policies schakelen we alle wachtwoord opslag functies uit in de browser dat is hoe wij slecht ontwerpen functies op sites opvangen heel veel meer kun je er niet aan doen helaas.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.