image

Windows 11 waarschuwt voor opslag van wachtwoorden in tekstbestand

woensdag 21 september 2022, 12:33 door Redactie, 19 reacties

Microsoft heeft met de lancering van Windows 11 Update 2022 een nieuwe feature aan het besturingssysteem toegevoegd die gebruikers waarschuwt wanneer ze school- of zakelijke wachtwoorden in tekstbestanden opslaan. Om gebruikers tegen phishing te beschermen zal de Enhanced Phishing Protection van Microsoft Defender SmartScreen in verschillende scenario's alarm slaan.

Wanneer gebruikers hun wachtwoorden voor werk of school via Notepad, Word of andere Microsoft 365 Office-app willen opslaan zal de Enhanced Phishing Protection een waarschuwing geven en gebruikers adviseren om het bestand te verwijderen. Ook wanneer gebruikers hun wachtwoord in een Chromium-gebaseerde browser invoeren, op een website die volgens Microsoft kwaadaardig is, zal er een waarschuwing verschijnen met advies om het wachtwoord te wijzigen.

Verder zal Enhanced Phishing Protection alarm slaan wanneer gebruikers het wachtwoord van hun Microsoft-account ook voor accounts op andere websites of apps willen gebruiken. Wederom zal dan de boodschap verschijnen om het wachtwoord te wijzigen. Windows 11 monitort wanneer een gebruiker het wachtwoord gebruikt voor het inloggen op het systeem, ergens anders opslaat of invoert. Het gaat dan zowel om een Microsoft-account, Active Directory, Azure Active Directory of lokaal wachtwoord.

Naast de waarschuwing aan gebruikers zal er ook een melding over het onveilig wachtwoordgebruik richting de organisatie gaan, wat via de Microsoft Defender for Endpoint security portal gebeurt. Organisaties kunnen de Enhanced Phishing Protection via een Group Policy of Configuration Service Provider bij hun medewerkers in- en uitschakelen, alsmede welke meldingen er worden getoond.

Image

Reacties (19)
21-09-2022, 13:24 door Anoniem
1. Microsoft weet wat een wachtwoord is
2. Microsoft kan zien waar je een wachtwoord invoert
3. Microsoft kan wachtwoorden herkennen die je opslaat in een tekstbestand
4. Waarschijnlijk gebeurt dit allemaal 'veilig' in de cloud
5. Microsoft weet al je wachtwoorden
21-09-2022, 13:44 door Anoniem
Wanneer wordt er nou eens voor microsoft gewaarschuwd? Data harken zonder einde en iedereen vindt het prima.
21-09-2022, 13:57 door Anoniem
Door Anoniem: 1. Microsoft weet wat een wachtwoord is
2. Microsoft kan zien waar je een wachtwoord invoert
3. Microsoft kan wachtwoorden herkennen die je opslaat in een tekstbestand
4. Waarschijnlijk gebeurt dit allemaal 'veilig' in de cloud
5. Microsoft weet al je wachtwoorden

6. Microsoft kijkt dus over je schouder mee met wat je aan het doen bent op je pc.
21-09-2022, 13:57 door Briolet
Wanneer gebruikers hun wachtwoorden voor werk of school via Notepad, Word of andere Microsoft 365 Office-app willen opslaan zal de Enhanced Phishing Protection een waarschuwing geven

Dat klinkt heel gevaarlijk. Om zo'n waarschuwing te kunnen genereren moet Microsoft dus alle wachtwoorden die je in een wachtwoordveld intikt, zelf ook opslaan. Je wachtwoorden zijn dus niet langen meer van jezelf.
21-09-2022, 14:08 door Anoniem
Er zijn toch legitieme redenen:

Bv als je je wachtwoorden (Microsoft-account, Active Directory, Azure Active Directory of lokaal wachtwoord) in een wachtwoord manager opslaat. Wat is daar mis mee.

Idem met een lijst van random gegenereerde wachtwoorden die nog niet gebruikt zijn.


Om het over de storende pop-up waarschuwingen om je ww te wijzigen maar niet te hebben, die mensen snel zullen gaan uitzetten als het vaak loos alarm is.


Windows wordt steeds meer een OS dat teveel voor de gebruiker gaat denken en beslissen.
Het zegt iets over de maatschappij waarin we leven, dat dit geaccepteerd (misschien zelfs verwelkomd) wordt.
21-09-2022, 14:11 door _R0N_
Door Anoniem: 1. Microsoft weet wat een wachtwoord is
2. Microsoft kan zien waar je een wachtwoord invoert
3. Microsoft kan wachtwoorden herkennen die je opslaat in een tekstbestand
4. Waarschijnlijk gebeurt dit allemaal 'veilig' in de cloud
5. Microsoft weet al je wachtwoorden

Vervang Microsoft met Google, Apple of Facebook/Meta en je kunt de rest gewoon kopiëren..
21-09-2022, 15:10 door Ron625
Windows is niet voor niets het meest verkochte virus...............
21-09-2022, 17:52 door Anoniem
Er wordt hierboven luid getoeterd over "Microsoft dit" en "Microsoft dat" maar men gaat er aan voorbij dat dit een tool
is voor "werk en school" (lees: systemen die beheerd worden door een professionele organisatie) en dat dit instellingen
zijn die de beheerder al of niet kan inschakelen.
Het is dus niet "Microsoft" maar "je werk" of "je school" die dit afdwingt, Microsoft geeft hen daar alleen de gereedschappen
voor. "je werk" of "je school" kan op een dergelijke beheerde PC nog veel meer instellen en afdwingen!
21-09-2022, 19:25 door Anoniem
Door Briolet: Dat klinkt heel gevaarlijk. Om zo'n waarschuwing te kunnen genereren moet Microsoft dus alle wachtwoorden die je in een wachtwoordveld intikt, zelf ook opslaan. Je wachtwoorden zijn dus niet langen meer van jezelf.
De wachtwoorden die je invult hoeven niet per se opgeslagen te worden. Ze kunnen ook gewoon in het werkgeheugen gecontroleerd worden op het moment dat je een bestand wilt wegschrijven. En voor het controleren hoeft niet per se een leesbaar wachtwoord gebruikt worden, er kunnen ook twee wachtwoordhashes vergeleken worden. Allemaal lokaal en zonder cloud.
22-09-2022, 00:30 door Anoniem
deze functionaliteit is (denk ik) alleen mogelijk indien MS zelf wachtwoorden in plain text (unsalted & unhashed) op slaat ergens. erg verontrustend dit!
22-09-2022, 00:33 door Anoniem
Waarschijnlijk prima te omzeilen door het tekstbestand niet op te slaan met txt extensie.
22-09-2022, 07:13 door Anoniem
Door Anoniem: 1. Microsoft weet wat een wachtwoord is
2. Microsoft kan zien waar je een wachtwoord invoert
3. Microsoft kan wachtwoorden herkennen die je opslaat in een tekstbestand
4. Waarschijnlijk gebeurt dit allemaal 'veilig' in de cloud
5. Microsoft weet al je wachtwoorden
Klopt, welk OS doet dit niet? Kom niet met Linux, Unix, BSD, etc. Want elk OS doet een controle of geeft de optie wachtwoord opslaan waardoor je in hetzelfde schuitje zit. Altijd zo makkelijk roepen dat Microsoft iets doet terwijl elk OS hetzelfde doet. Wees dan zo eerlijk om dat ook toe te geven.
22-09-2022, 10:02 door Briolet
Door Anoniem:
Door Briolet: Dat klinkt heel gevaarlijk. Om zo'n waarschuwing te kunnen genereren moet Microsoft dus alle wachtwoorden die je in een wachtwoordveld intikt, zelf ook opslaan. Je wachtwoorden zijn dus niet langen meer van jezelf.
De wachtwoorden die je invult hoeven niet per se opgeslagen te worden. Ze kunnen ook gewoon in het werkgeheugen gecontroleerd worden op het moment dat je een bestand wilt wegschrijven. En voor het controleren hoeft niet per se een leesbaar wachtwoord gebruikt worden, er kunnen ook twee wachtwoordhashes vergeleken worden. Allemaal lokaal en zonder cloud.

Dat moet ik tegenspreken. De meeste wachtwoorden sla ik op in een wachtwoord manager. Maar mijn hoofdwachtwoord en enkele andere belangrijke wachtwoorden worden ook daar niet opgeslagen. Die tik ik altijd uit het hoofd in.

Als microsoft deze wachtwoorden later in teksten wil kunnen herkennen moet hij ze (of hun hash) toch echt fysiek op de harde schijf opslaan, want anders overleven ze geen herstart. Maar ik wil zelfs geen hash van deze wachtwoorden op mijn schijven hebben staan. Het is niet voor niets dat ik ze zelfs niet in mijn wachtwoord manager opsla.
22-09-2022, 11:13 door Anoniem
Door Anoniem: Wanneer wordt er nou eens voor microsoft gewaarschuwd? Data harken zonder einde en iedereen vindt het prima.

Heb je een advies welk OS er - 100% zeker - niet harkt, en nog bruikbaar is voor de doorsnee consument?
22-09-2022, 11:29 door Anoniem
Door Anoniem:
Door Anoniem: 1. Microsoft weet wat een wachtwoord is
2. Microsoft kan zien waar je een wachtwoord invoert
3. Microsoft kan wachtwoorden herkennen die je opslaat in een tekstbestand
4. Waarschijnlijk gebeurt dit allemaal 'veilig' in de cloud
5. Microsoft weet al je wachtwoorden
6. Microsoft kijkt dus over je schouder mee met wat je aan het doen bent op je pc.

In omgekeerde volgorde:
Ad6
Als je daarmee bedoelt dat jouw besturingsysteem meekijkt dan heb je gelijk. Dit is ook de taak van een besturingssysteem. Zorgen dat jouw invoer op een gestandaardiseerde, integere, vertrouwelijke en betrouwbare manier terecht komt in de juiste applicatie en deze de invoer op een integere, vertrouwelijke en betrouwbare manier kan verwerken.

Ad5
Microsoft kent alle hashes (versleutelde versie) van wachtwoorden die je bij Microsoft opslaat. Dit zijn niet perse alle wachtwoorden. Een deel hiervan is opgeslagen op jouw computer en wordt niet gedeeld (als jij daar geen opdracht toe geeft). Dit opslaan van hashes of een andere manier om de identiteit vast te stellen (tokens) gebeurt al jaren en misschien wel met name op het internet (in de Cloud). Het alternatief is namelijk dat je zonder je identiteit te bewijzen bij de beschikbare informatie zou kunnen. Wil je dit niet, dan kun je niet anders dan 'iets' opslaan waarmee de identiteit van de bezoeker gecontroleerd kan worden.

Ad4
'De Cloud' is zo (on)veilig als elke andere plek waar je het wachtwoord opslaat of deelt. Ergo veel wachtwoorden zijn over de jaren gelekt of gehacked en vrij beschikbaar (voor zowel kwaadwillenden als leveranciers als Microsoft). Over de totale populatie van de aarde is er een aannemelijke kans dat jouw wachtwoord ook door anderen gebruikt wordt en via hen gelekt zijn of bloodgesteld zijn. Doe zelf maar eens de check: https://haveibeenpwned.com/. Daarom is het advies ook altijd gebruik te maken van Multi Factor. Natuurlijk is dit systeem ook niet waterdicht maar wel een enorme verbetering ten opzichte van enkel een wachtwoord.

Ad3
Dit kan elke applicatie(code) met een simpele vergelijking van twee (vaak) hashes. Zonder deze functie kan niet gecontroleerd worden of een ingevoerd wachtwoord juist is. Microsoft moet je hierbij wel vervangen met jouw besturingsysteem. Ongeacht of dit Linux, Apple, BSD, Windows of welke dan ook.

Ad2
Een besturingssysteem is verantwoordelijk voor het verwerken van alle toetsaanslagen die jij op je keyboard doet. Zonder zou je geen gebruik kunnen maken van je computer. Of dit een wachtwoord is kan gecontroleerd worden tegen aanwezige hashes of met patroonvergelijkingen. Dit kan allemaal op je lokale systeem gedaan worden zonder interactie met het internet.

Ad1
Dat betwijfel ik. In sommige velden geeft het veldtype aan dat het een wachtwoord betreft (dit veld toont * in plaats van karakters). In een notepad is er geen hint. Hierbij moet Windows patroon herkenning en vergelijkingen toepassen tegen bekende hashes om te beoordelen of het 'mogelijk' een wachtwoord is. Hierbij zouden ze ook van de beschikbaar 'gelekte' wachtwoorden gebruik kunnen maken die op het internet vrij beschikbaar zijn.

Wil dit zeggen dat er helemaal niets op aan te merken is?
Nee, Een enorm belangrijke vraag blijft welke informatie wel en niet met Microsoft wordt gedeeld.
Ook kost deze controle extra systeembronnen, heb je een oudere laptop dan zal deze dus 'trager' worden door deze functie.
23-09-2022, 18:28 door Anoniem
Door Anoniem: Waarschijnlijk prima te omzeilen door het tekstbestand niet op te slaan met txt extensie.

Of niet met Notepad, Word of andere Microsoft 365 Office-app het tekstbestand opslaan, Notepad++ bijvoorbeeld...
23-09-2022, 22:39 door Anoniem
Het feit dat Microsoft mijn toetsaanslagen zou herkennen als zijnde een wachtwoord, wat zegt dat dan? Inderdaad: het OS is van zichzelf verworden tot regelrechte spyware. Daar kan zelfs de grootste Windows fan niet meer omheen, denk ik zo. Dan ben ik maar wat blij dat ik het al jaren niet meer gebruik. Ik heb altijd al geweten dat het deze kant op zou gaan. Hetzelfde dat ik voorspelde dat het OS straks vol met advertenties gaat zitten.
24-09-2022, 17:02 door walmare
Door Ron625: Windows is niet voor niets het meest verkochte virus...............
Malware is in ieder geval het meeste populaire programma onder windows. Daarnaast is windows zelf ook spyware en malware: https://www.gnu.org/proprietary/malware-microsoft.html

Aangaande het onderwerp. Check ook deze: https://www.bleepingcomputer.com/news/security/fake-windows-11-upgrade-installers-infect-you-with-redline-malware/
26-09-2022, 13:59 door musiman - Bijgewerkt: 26-09-2022, 14:00
Jammer dat er zoveel mensen hier:
a) het leuk vinden om Microsoft te bashen
b) geen idee hebben hoe Microsoft (op een veilige manier) omgaat met wachtwoorden
c) niet weten wat hashing nou eigenlijk is

Een goede zaak dat Microsoft gebruikers op de vingers tikt wanneer die op het punt staan onveilig met hun wachtwoorden om te springen. De meeste computergebruikers zijn enorm "unaware" wanneer het gaat om online veiligheid en veilig gebruik van de computer.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.