image

"Sla wachtwoorden niet op in browser maar gebruik een wachtwoordmanager"

dinsdag 17 mei 2022, 14:58 door Redactie, 23 reacties

De meeste browsers bieden gebruikers de mogelijkheid om wachtwoorden voor websites op te slaan, maar het is verstandiger een aparte wachtwoordmanager te gebruiken, zo stelt de Belgische beveiligingsexpert en Internet Storm Center-handler Xavier Mertens. Hij is betrokken bij het onderzoek naar een beveiligingsincident waarbij inloggegevens werden buitgemaakt en ontdekte dat veel van de gestolen wachtwoorden in de wachtwoordendatabase van Chrome waren opgeslagen.

Mertens merkt op dat de wachtwoorden versleuteld zijn opgeslagen, maar de vereiste sleutel voor het ontsleutelen zich in een JSON-bestand op het systeem bevindt. Op internet wordt ook allerlei malware aangeboden waarmee wachtwoorden uit browsers zijn te stelen. Een bekend voorbeeld is RedLine Stealer. Deze malware is in staat om inloggegevens uit Google Chrome, Mozilla Firefox en Opera te stelen, waaronder opgeslagen wachtwoorden en creditcardgegevens, alsmede browsercookies en auto-fill content.

De beveiligingsexpert adviseert gebruikers dan ook om geen wachtwoorden in de browser op te slaan, maar hiervoor een aparte wachtwoordmanager te gebruiken. De meeste wachtwoordmanagers bieden daarnaast een browserplug-in zodat ze net zo eenvoudig zijn te gebruiken als de ingebouwde wachtwoordopslag van de browser zelf.

Reacties (23)
17-05-2022, 15:18 door Anoniem
Stel op zijn minst een hoofdwachtwoord in voor de opgeslagen wachtwoorden in de browser als je geen gebruik wilt maken van een aparte password manager.
17-05-2022, 15:27 door Anoniem
Twee aanvullingen:
1) Firefox kan werken met een Master Password (AKA Primary Password).
2) Wachtwoord managers werken volgens mij altijd via het Klembord. Waardoor je je wachtwoord zou kunnen plakken op een plaats waar dat niet zo handig is. De browser Opera leest je klembord bijvoorbeeld veelvuldig als deze open staat. https://www.security.nl/posting/743769/Nieuwste+Opera+beschermt+gevoelige+data+in+clipboard+tegen+aanpassingen. Maar elk programma kan eigenlijk wel bij het klembord omdat Ctrl-C Ctrl-V anders niet werkt.
17-05-2022, 15:47 door meinonA
Door Anoniem: Twee aanvullingen:
2) Wachtwoord managers werken volgens mij altijd via het Klembord.

Volgens mij niet: invoervelden worden gevuld vanuit de extensie, niet via copy/paste.
17-05-2022, 16:03 door Anoniem
Gewoon pen en papier en ook
geen password manager!

The Matrix
17-05-2022, 16:13 door Briolet
2) Wachtwoord managers werken volgens mij altijd via het Klembord.

Dat zal van de manager af hangen. De wachtwoord manager van Apple (Sleutelhangertoegang) heeft een eigen api voor het benaderen van de wachtwoorden vanuit een programma. Safari maakt daar gebruik van en vroeger deed de mac versie van Chrome dat ook. Ik dacht dat Opera deze manager ook gebruikte.

Jammer alleen dat de andere browsers dan Safari er mee gestopt zijn omdat ze hun eigen cloudopslag van wachtwoorden er door wilden drukken.
17-05-2022, 16:14 door Anoniem
Door Anoniem: 2) Wachtwoord managers werken volgens mij altijd via het Klembord.
Niet altijd. Keepass, KeepassX en KeepassXC kennen Auto-type: via een virtueel toetsenbord worden de tekens ingetypt, inclusief TAB om van usernaam naar wachtwoord te springen en ENTER om het inlogformulier te versturen (dit is configureerbaar per inlogformulier). Daar komt geen klembord of browser-extensie aan te pas.
17-05-2022, 16:28 door Anoniem
Door Anoniem: Twee aanvullingen:
1) Firefox kan werken met een Master Password (AKA Primary Password).
2) Wachtwoord managers werken volgens mij altijd via het Klembord. Waardoor je je wachtwoord zou kunnen plakken op een plaats waar dat niet zo handig is. De browser Opera leest je klembord bijvoorbeeld veelvuldig als deze open staat. https://www.security.nl/posting/743769/Nieuwste+Opera+beschermt+gevoelige+data+in+clipboard+tegen+aanpassingen. Maar elk programma kan eigenlijk wel bij het klembord omdat Ctrl-C Ctrl-V anders niet werkt.

Daarom autotype gebruiken i.p.v. klembord.
17-05-2022, 17:54 door Anoniem
"Sla wachtwoorden niet op in browser maar gebruik een wachtwoordmanager"
Op de keper beschouwd hoef je ook geen wachtwoordmanager te gebruiken. Het enige wat je moet doen is "wachtwoord vergeten" gebruiken en elke keer opnieuw een sterk uniek wachtwoord te maken die lang genoeg is. Voordeel: je hoeft je wachtwoorden nergens meer op te slaan of te onthouden.
17-05-2022, 19:11 door Anoniem
In het advies lees ik niets over iCloud / Safari?

Ik verwacht gezien de extra authenticatie daar geen issues?
17-05-2022, 19:26 door Anoniem
Als een losse wachtwoordmanager wel goed is en die van een browsermaker niet, dan kan meneer Mertens misschien
helpen (op zijn minst met ideeen) om deze situatie recht te trekken, dwz de wachtwoordmanager van de browser net
zo veilig te maken.
Immers dit is geen principieel verschil, er is hooguit sprake van een op dit moment slechtere implementatie, en dat
kan dan verbeterd worden. We herrinneren ons allemaal wel de tijd dat "een virusscanner van je operatingsystem"
slechter was dan een los gekochte, en dat is nu ook verleden tijd.
Kortom, de schouders eronder!
18-05-2022, 06:48 door Anoniem
Door Anoniem: Stel op zijn minst een hoofdwachtwoord in voor de opgeslagen wachtwoorden in de browser als je geen gebruik wilt maken van een aparte password manager.

ja dat gaat echte werken.
In het artikel, 2e alinea:

"Mertens merkt op dat de wachtwoorden versleuteld zijn opgeslagen, maar de vereiste sleutel voor het ontsleutelen zich in een JSON-bestand op het systeem bevindt."

Dus lekker veilig dat hoofdwachtwoord.
18-05-2022, 06:51 door Anoniem
Door Anoniem:
"Sla wachtwoorden niet op in browser maar gebruik een wachtwoordmanager"
Op de keper beschouwd hoef je ook geen wachtwoordmanager te gebruiken. Het enige wat je moet doen is "wachtwoord vergeten" gebruiken en elke keer opnieuw een sterk uniek wachtwoord te maken die lang genoeg is. Voordeel: je hoeft je wachtwoorden nergens meer op te slaan of te onthouden.

Je bent alleen meer tijd kwijt om in te loggen.
En als je een tijdelijk email-adres gebruikt hebt bij het aanmaken van het account, dan gaat deze oplossing (ook) niet werken.
18-05-2022, 09:28 door Anoniem
Alsof wachtwoordmanagers nog nooit gefaald hebben...
18-05-2022, 10:09 door Anoniem
Door Anoniem:
Door Anoniem: Stel op zijn minst een hoofdwachtwoord in voor de opgeslagen wachtwoorden in de browser als je geen gebruik wilt maken van een aparte password manager.

ja dat gaat echte werken.
In het artikel, 2e alinea:

"Mertens merkt op dat de wachtwoorden versleuteld zijn opgeslagen, maar de vereiste sleutel voor het ontsleutelen zich in een JSON-bestand op het systeem bevindt."

Dus lekker veilig dat hoofdwachtwoord.

Wat je hier beschrijft is de situatie als je GEEN hoofdwachtwoord gebruikt. Dan zijn de wachtwoorden versleuteld onder
een random gegenereerd hoofdwachtwoord wat in een bestand staat.
Maar als je zelf een ander hoofdwachtwoord kiest dan wordt dat niet in dat bestand opgeslagen uiteraard. Dan moet
je het zelf intikken.
18-05-2022, 10:46 door Anoniem
Door Anoniem:
"Sla wachtwoorden niet op in browser maar gebruik een wachtwoordmanager"
Op de keper beschouwd hoef je ook geen wachtwoordmanager te gebruiken. Het enige wat je moet doen is "wachtwoord vergeten" gebruiken en elke keer opnieuw een sterk uniek wachtwoord te maken die lang genoeg is. Voordeel: je hoeft je wachtwoorden nergens meer op te slaan of te onthouden.

Wachtwoorden zijn ook gelinkt aan eventuele apps, waar je je dus ook elke keer weer moet aanmelden. Voor niet alles de oplossing dus helaas
18-05-2022, 11:39 door Anoniem
Door Anoniem:
"Sla wachtwoorden niet op in browser maar gebruik een wachtwoordmanager"
Op de keper beschouwd hoef je ook geen wachtwoordmanager te gebruiken. Het enige wat je moet doen is "wachtwoord vergeten" gebruiken en elke keer opnieuw een sterk uniek wachtwoord te maken die lang genoeg is. Voordeel: je hoeft je wachtwoorden nergens meer op te slaan of te onthouden.
Helaas moet ik voor (gelukkig maar een heel klein stukje van) mijn werk gebruik maken van een vervelende Cloud oplossing die geen MFA kent en waarbij je wachtwoord iedere 45 dagen moet worden vernieuwd. Ik heb het één keer per maand nodig maar als ik het een keer oversla dan moet de beheerder mijn wachtwoord resetten omdat ook een 'wachtwoord vergeten' functionaliteit er niet op zit! In dat geval is het toch wel handig om Keepass te gebruiken en standaard iedere maand een keer in te loggen.
18-05-2022, 14:27 door Anoniem
Heel mooi een wachtwoordmanager en elke xx dagen je wachtwoord wijzigen, maar als er een keylogger op je pc staat helpt het niet om geregeld je wachtwoord te wijzigen en supercomplex te maken.
18-05-2022, 16:04 door Erik van Straten
Door Anoniem: ...als er een keylogger op je pc staat helpt het niet om geregeld je wachtwoord te wijzigen en supercomplex te maken.
Als er een keylogger op je PC staat is de kans groot dat dit niet de enige malware is, en dan helpt er weinig tot niets.

Helaas zijn besturingssystemen zo complex geworden dat het zeer lastig is (zo niet onmogelijk) om van een systeem aan te tonen dat het niet gecompromitteerd is (of een achterdeurtje bevat waarmee dat elk moment zou kunnen).

Losse wachtwoordmanagers hebben nadelen, maar voordelen ervan zijn dat je er ook wachtwoorden voor niet-webaccounts in kunt opslaan, en dat je met zo'n manager ook een overzicht kunt hebben van waar je allemaal accounts hebt.
19-05-2022, 05:45 door Anoniem
2 factor helpt tegen meelezen.
Bitwarden gebruiken bijv, en gebruik een yubikey, dit is een van de veiligste manieren.
Ja je moet steeds een yubikey gebruiken om bitwarden te openen.
19-05-2022, 13:28 door Anoniem
Voor mijn persoonlijke zaken gebruik ik een wachtwoordenboekje van papier, van de Bruna, met een harde kaft. Met daarin steepjescode stickers. Benodigd is een barcodescanner om de wachtwoorden snel en zonder fouten in te voeren. De wachtwoorden staan in het boekje voor de helft vermeld. De andere helft staat op een plastic kaart, die ik altijd mee draag in mijn portefeuille. Tegen verlies en brand liggen kopieën in twee kluizen, die op verschillende locaties staan.

Voor professionele doeleinden, voor server beheer e.d., vond ik de volgende twee berichten ooit nuttig om te lezen:

Opensource passwordmanager met opensource two-factor authenticatie
25-03-2021, door Anoniem
https://www.security.nl/posting/696323/Opensource+passwordmanager+met+opensource++2FA+authenticatie

GnuPG krijgt TPM-support voor fysiek koppelen van encryptiesleutels
09-04-2021, door Redactie
https://www.security.nl/posting/698341/GnuPG+krijgt+TPM-support+voor+fysiek+koppelen+encryptiesleutels


Linux bash commando's om lange wachtwoorden uitgeprint op steepjescodes stickers te verkrijgen:

$ export string=$( apg -a 1 -n 1 -m 32 -c /dev/random ) && echo "$string"

$ barcode -b "$string" | ps2pdf - output.pdf && lpr output.pdf

$ rm output.pdf # using an offline, air-gapped system in highly recommended


GNU Barcode supports UPC, EAN, ISBN, CODE39 and other encoding standards

https://www.gnu.org/software/barcode/

Het lijkt ingwiikkelder dan het is. Het is eenvoudig. De kunst is de streepjescodes precies op de stickers te krijgen.
19-05-2022, 16:03 door Anoniem
Opgeslagen wachtwoorden vallen voor MFA ook niet meer onder de "knowledge" factor, maar de "possession" factor.
Iedereen in het bezit van de browserdata / cache kan het wachtwoord achterhalen.

De combinatie van een opgeslagen wachtwoord er en een andere possession factor is daarom geen echte MFA want MFA vereist het gebruik van verschillende factoren.
21-05-2022, 17:56 door Anoniem
Misschien is een wachtwoord manager wel gemakkelijk voor de sleepnetters, die straks overal bij moeten kunnen.
Of ben ik nu te achterdochtig geworden door het vele gedoe en gedraai de laatste tijd?
28-06-2022, 14:33 door Anoniem
Wat ik heel erg raar vind, voorheen kon je gewoon aangeven of je je aanmelding wilt opslaan.
Ik mijn geval: Ja, hoef ik dat niet steeds in te tikken
Nu kan ik dat niet meer in FF, ik moet ook meteen mijn wachtwoord opslaan
En nee, dat wil ik niet, dat zit wel in mijn hoofd

En wat ik ook probeer, ik krijg het maar niet voor elkaar om alleen mijn gebruikers naam te onthouden en verder niets. Hele rare ontwikkeling.
En wat ik nog raarder vind, mijn aanmeldnaam bij followthemoney onthoud FF wel en bij mijn
emailprovider 'protonmail' dan weer niet.
Daar moet ik dus elke keer een hele rits dingen intypen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.