Duitse overheid kritisch op wachtwoordmanager Google Chrome
De Duitse overheid is kritisch op de in Google Chrome ingebouwde wachtwoordmanager, omdat het techbedrijf in theorie bij opgeslagen inloggegevens kan. Het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, deed samen met FZI Research Center for Information Technology onderzoek naar tien verschillende wachtwoordmanagers.
Bij drie van de tien onderzochte wachtwoordmanagers kan de aanbieder in theorie bij de opgeslagen wachtwoorden, zo stellen de onderzoekers. Naast de Google Chrome Password Manager gaat het ook om mSecure-Password Manager en PassSecurium. In het geval van SecureSafe PasswordManger en S-Trust Password Manger is het volgens de Duitse autoriteiten niet te beoordelen of de aanbieders toegang hebben. Bij 1 Password, Avira Password Manager, Keepass2 Android, KeePassXC en Mozilla Firefox Password Manager hebben de aanbieders geen toegang, aldus de onderzoekers.
In het geval een aanbieder in theorie toegang tot opgeslagen wachtwoorden heeft, vergroot dit het aanvalsoppervlak en moeten er aanvullende maatregelen worden getroffen. "Gebruikers moeten deze aanvullende maatregelen vertrouwen. Als de wachtwoordmanager data in de cloud opslaat, moeten gebruikers uitzoeken waar de opslaglocatie zich bevindt en het beschermingsniveau dat de leverancier biedt", aldus het BSI.
In het geval van Google Chrome heeft het techbedrijf volgens de Duitse overheid toegang wanneer synchronisatie is ingeschakeld en er geen passphrase wordt gebruikt. Het BSI laat aanvullend weten dat Google heeft bevestigd dat het in geval van de synchronisatiemodus toegang kan hebben. "Gebruikers moeten bij het synchroniseren via hun Google-account in de instellingen een eigen passphrase instellen. Voordat ze een andere modus gebruiken moeten gebruikers bepalen of ze de leverancier voldoende vertrouwen", adviseert de Duitse overheidsdienst.
Ondanks de tekortkomingen die er volgens het BSI zijn, is het belangrijk dat mensen password managers blijven gebruiken. "De aanbeveling is duidelijk: wachtwoordmanagers zijn een essentiële tool en kunnen voor veel gebruikers een belangrijke hulp in hun digitale leven zijn." Met het nu gepubliceerde onderzoek kunnen gebruikers kijken welke wachtwoordmanagers aan hun eisen voldoen, zo laat het BSI afsluitend weten.
Alternatieven genoeg, maar we zijn verwend en lui geworden.
Dat vind ik uiteraard prima maar wees er dan ook gewoon eerlijk over..
Uiteindelijk kan iedere software aanbieder bij deze wachtwoorden. Ze maken immers letterlijk de software, duh....
Dat is zelfs bij een offline wachtwoordmanager als KeepassXC het geval en dit gebeurd ook dagelijks door middel van malware geïnfecteerde versies.
Google passwords maakt normaal enkel gebruik van de lokale computer (SQLite database), de sync optie is opt-in.
Als je dat inschakelt, dan wordt deze informatie gekoppeld aan je account. Dat is gebruiksvriendelijk zodat een normaal mens er ook mee om kan gaan. Als je namelijk er nog een encryptie sleutel overheen gooit (wat ze dus ook nog als optie aanbieden als je dat wil), dan gaat de data verloren wanneer deze encryptie sleutel / wachtwoord verloren gaat.
Laten we eerlijk zijn, iedereen hier heeft wel eens een wachtwoord moeten herstellen voor een familielid. Moet je voorstellen dat ze daarbij ook nog eens al hun data kwijt zouden zijn... Mooie feature heb je dan...
De EU lijkt op oorlogspad met Amerika te gaan. Het resultaat zal simpelweg zijn dat simpelweg alle (nieuwe) features uitgeschakeld of geblokkeerd gaan worden voor de Europese burgers.. En wij komen er enkel bekaaid vanaf.
Dit is niet hoe je innovatie stimuleert, dit is hoe je iedereen afschrikt.
" Bij 1 Password, Avira Password Manager, Keepass2 Android, KeePassXC en Mozilla Firefox Password Manager hebben de aanbieders geen toegang, aldus de onderzoekers."
Dat vind ik uiteraard prima maar wees er dan ook gewoon eerlijk over..
Ik denk eerder dat de redactie Chrome wil bashen door dit onderdeel uit de publicatie uit te vergroten met een suggestieve titel. Het Duitse stuk zelf is vrij neutraal. en het meelezen kan alleen als je de data in de cloud zet en dan ook nog geen wachtwoordzin aanmaakt.
Dit is de link naar de publicatie zelf: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/DVS-Berichte/passwortmanager_sicherheit_datenschutz.pdf?__blob=publicationFile&v=3
Dat vind ik uiteraard prima maar wees er dan ook gewoon eerlijk over..
Uiteindelijk kan iedere software aanbieder bij deze wachtwoorden. Ze maken immers letterlijk de software, duh....
Dat is zelfs bij een offline wachtwoordmanager als KeepassXC het geval en dit gebeurd ook dagelijks door middel van malware geïnfecteerde versies.
Google passwords maakt normaal enkel gebruik van de lokale computer (SQLite database), de sync optie is opt-in.
Als je dat inschakelt, dan wordt deze informatie gekoppeld aan je account. Dat is gebruiksvriendelijk zodat een normaal mens er ook mee om kan gaan. Als je namelijk er nog een encryptie sleutel overheen gooit (wat ze dus ook nog als optie aanbieden als je dat wil), dan gaat de data verloren wanneer deze encryptie sleutel / wachtwoord verloren gaat.
Laten we eerlijk zijn, iedereen hier heeft wel eens een wachtwoord moeten herstellen voor een familielid. Moet je voorstellen dat ze daarbij ook nog eens al hun data kwijt zouden zijn... Mooie feature heb je dan...
De EU lijkt op oorlogspad met Amerika te gaan. Het resultaat zal simpelweg zijn dat simpelweg alle (nieuwe) features uitgeschakeld of geblokkeerd gaan worden voor de Europese burgers.. En wij komen er enkel bekaaid vanaf.
Dit is niet hoe je innovatie stimuleert, dit is hoe je iedereen afschrikt.
Je begrijpt blijkbaar niet waar passwordmanagers voor zijn. En nee, je wilt geen achterdeur in pasword managers. Als je je passphrase kwijt bent, dan ben je alles inderdaad kwijt. Dat is een primaire fucntie. En Google chrome, inderdaad ver van weg blijven.
Maar ik denk dat deze goed door de test komt net als protonpass
En KeePass DX ontbreekt ook.. KeePass2Android wel getest.....Waarvan eentje bestaat die wel backups maakt en eentje die dat niet doet.......Geen idee daarover
dinsdag 17 mei 2022, 14:58 door Redactie
Malware is in staat om inloggegevens uit Chrome, Firefox en Opera te stelen, waaronder opgeslagen wachtwoorden en creditcardgegevens, alsmede browsercookies en auto-fill content. Gebruik daarom een aparte wachtwoordbeheerder.
https://www.security.nl/posting/753841/%22Sla+wachtwoorden+niet+op+in+webbrowser%22
Alternatieven genoeg, maar we zijn verwend en lui geworden.
Een grote groep mensen waarvan ouderen ( ik heb er vaak mee te maken w.b.t. hulp bieden met het digitale)kan totaal niet doorgronden wat redenen zouden moeten zijn om bijvoorbeeld Brave of DuckDuckGo te gaan gebruiken.
Je zou en kunt ze dat uitleggen.
Bovendien vindt men verandering moeilijk( dit heeft met leeftijd te maken)
Bovendien vind men die hele digitale wereld ingwikkeld en blijft liever bij waar ze nu mee kunnen werken.
Dus Uw aanname is wat te snel en kort door de bocht.
U kunt beter ook ouderen wat meer wegwijs maken.
Dat is positiever.
Dat vind ik uiteraard prima maar wees er dan ook gewoon eerlijk over..
Ik denk eerder dat de redactie Chrome wil bashen door dit onderdeel uit de publicatie uit te vergroten met een suggestieve titel. Het Duitse stuk zelf is vrij neutraal. en het meelezen kan alleen als je de data in de cloud zet en dan ook nog geen wachtwoordzin aanmaakt.
Dit is de link naar de publicatie zelf: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/DVS-Berichte/passwortmanager_sicherheit_datenschutz.pdf?__blob=publicationFile&v=3
Ik vind het ook een prima publicatie van de Duitse 'consumentenbond'.
@14.34 schreef:
Dit is niet hoe je innovatie stimuleert, dit is hoe je iedereen afschrikt.
Daar zou je wel eens gelijk in kunnen hebben. EU geeft geen moer om haar inwonende burgers, nog minder dan poltiek Den Haag.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Wij zoeken een Junior DevOps Engineer!
Ben jij nieuwsgierig, leergierig en klaar om je te verdiepen in de wereld van DevOps? In deze functie krijg je alle ruimte om te groeien. Je werkt met de nieuwste technologieën en krijgt intensieve begeleiding van ervaren security professionals zodat je je in korte tijd kunt ontwikkelen tot een volwaardige DevOps Engineer. Je werkt in Den Haag en werkt samen met een team dat kennis, humor en uitdaging moeiteloos weet te combineren. Are you ready for a challenge?