Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 109 reacties

Google werkt aan een generator van willekeurige wachtwoorden voor gebruik in browser Chrome. De tool moet mensen helpen aan veilige wachtwoorden voor webdiensten, die de browser vervolgens op de gewone manier opslaat.

De wachtwoordgenerator werkt, doordat op een registratiepagina in het veld voor het invullen van een wachtwoord een sleuteltje verschijnt. Door daarop te klikken, verschijnt een willekeurig wachtwoord in beeld dat de gebruiker kan invullen. Dat wachtwoord kan dan op de reguliere manier in Chrome worden onthouden, meldt de projectpagina.

De tool moet voorkomen dat mensen voor alle diensten hetzelfde wachtwoord invullen en kwaadwillenden zo dus makkelijk toegang hebben tot allerlei accounts als het wachtwoord uitlekt, tekent ThreatPost aan. De tool zou herkennen dat het gaat om een registratiepagina, doordat er veel meer velden dan reguliere inlogpagina's zijn vermeld, waaronder twee wachtwoordvelden.

De tool vereist wel dat de gebruiker Chrome als standaardbrowser blijft gebruiken, tenzij het wachtwoord op een andere wijze wordt overgedragen naar een andere browser, zoals door het over te schrijven. Bovendien werkt het alleen bij nieuwe registraties en niet bij diensten waarbij de gebruiker al is geregistreerd en inlogt.

Het is onduidelijk of en wanneer de tool in gebruik zal worden genomen in Chrome. Het is nu nog niet meer dan een idee en volgens Google zal het niet meer zijn dan een tussenoplossing voor de periode dat Open ID nog niet algemeen in gebruik is. "Chromes langetermijnoplossing is inloggen via de browser en Open ID", zo staat op de projectpagina.Google wachtwoordengenerator

Reacties (109)

Reactiefilter:-11090104+178+22+30
Moderatie-faq Wijzig weergave
Dus niet alleen gaat Google je history, gedrag en wifi-data opslaan, nu voortaan ook je wachtwoorden :D
Jij bent echt zo'n stereotypie hater.
Hardstikke vetjes
Zo vetjes vind ik het niet gezien de slechte wachtwoordbeveiliging in Chrome. Alle wachtwoorden worden welliswaar encrypted opgeslagen maar wanneer je toegang hebt tot de useraccount is het zeer eenvoudig om de wachtwoorden via Chrome op te vragen doordat er geen wachtwoord is om toegang tot wachtwoorden te beschermen.
Google erkend dit niet als issue omdat wachtwoorden encrypted opgeslagen worden dus toegang tot de account nodig is. Echter als iemand eens wat op jou pc moet doen of even snel een site wilt raadplegen of gewoon een onbewaakt moment pakt kan hij keurig alle wachtwoorden in zien.
Het is prima dat Chrome (en Firefox) dit doen, daardoor ontstaat er geen vals gevoel van veiligheid.

Ook als de browser de wachtwoorden veiliger op zou slaan is het namelijk nog steeds kinderlijk eenvoudig om erachter te komen. Browse simpelweg naar een site met een wachtwoord, en type in de adresbalk (of in firebug of de error console) het volgende om het weer te geven:

javascript:void(alert("Password: " + document.querySelector("input[type=password]").value))

of:

javascript:void(document.querySelector("input[type=password]").type = "text")

Dit werkt in alle browsers, en zal ook blijven werken omdat dit al jaren onderdeel is van HTML, en anders vele sites zullen stoppen met werken.

[Reactie gewijzigd door Grauw op 21 februari 2012 12:05]

Of een enkel gat in de plugin security zorgt ervoor dat een paar miljoen Chromes ff hun wachtwoorden opsturen.
Echter als iemand eens wat op jou pc moet doen of even snel een site wilt raadplegen of gewoon een onbewaakt moment pakt kan hij keurig alle wachtwoorden in zien.
Tja, hij kan ook keurig spyware installeren om hetzelfde te bereiken.
Als je je account door anderen laat gebruiken loop je dit soort risico's toch gewoon?
Daar kan Chrome weinig aan doen.
Echter als iemand eens wat op jou pc moet doen of even snel een site wilt raadplegen of gewoon een onbewaakt moment pakt kan hij keurig alle wachtwoorden in zien.
Maar dat is niet een bug of issue in Chrome, maar een user error. Altijd uitloggen / automagisch laten uitloggen als je bij je PC wegloopt en een gastaccount instellen.
Of zorgen dat je je account-wachtwoord weer moet intikken als je de wachtwoordenstore wil openen... Nu kun je in Chrome met zes keer klikken alle opgeslagen wachtwoorden zien die je wil.

[Reactie gewijzigd door CodeCaster op 20 februari 2012 16:02]

Als jij erop kan klikken en de informatie kan lezen dan kan een virus dat ook. Mijn advies, sla in Chrome geen wachtwoorden op.. Wachtwoorden horen niet plaintext zichtbaar te zijn, die horen slechts te openen te zijn wanneer jij het wachtwoord tot jouw wachtwoorden invult. Het is niet voor niets dat veel overheidsorganisaties FIPS 140-2 als beveiligings standaard toepassing.
Security Level 2 improves upon the physical security mechanisms of a Security Level 1 cryptographic module by requiring features that show evidence of tampering, including tamper-evident coatings or seals that must be broken to attain physical access to the plaintext cryptographic keys and critical security parameters (CSPs) within the module to attain physical access to the plaintext cryptographic keys and critical security parameters (CSPs) within the module[..]
Wat inhoudt dat al bij het gebruik van wachtwoorden om het hoofdwachtwoord gevraagd moet worden.
Je hebt theoretisch helemaal gelijk, maar hoeveel mensen doen dat nu? Beveiliging is altijd een afweging tussen veiligheid en gebruiksgemak. We hebben het hier over een browser, niet over een hightech bedrijf met allerlei protocollen.

Je moet daarom niet kijken naar de theoretische scenario's, maar naar de praktische. De gemiddelde gebruiker vindt het prima (want sociaal wenselijk) om iemand even iets op te laten zoeken op zijn/haar computer. Dus is het zaak ervoor te zorgen dat er in ieder geval een mogelijkheid tot beveiliging van de wachtwoorden is. Er hangt simpelweg te veel vanaf.

Dat kan bijvoorbeeld door elke keer dat een wachtwoord wordt geraadpleegd om het master-wachtwoord te vragen, of dat alleen de eerste keer per sessie te doen. Dan hoeft de gebruiker alleen even de browser opnieuw op te starten voor optimale beveiliging. En in het eerste scenario zouden alleen de reeds geopende diensten gevaar lopen als de gebruiker dat verzuimt. Als een gebruiker ervoor kiest om geen master-wachtwoord in te stellen dan is dat zijn/haar eigen probleem, maar een browser moet wel bepaalde ondersteuning bieden en deze ten minste voordragen als standaardinstelling.
Je hebt theoretisch helemaal gelijk, maar hoeveel mensen doen dat nu? Beveiliging is altijd een afweging tussen veiligheid en gebruiksgemak. We hebben het hier over een browser, niet over een hightech bedrijf met allerlei protocollen.

Je moet daarom niet kijken naar de theoretische scenario's, maar naar de praktische. De gemiddelde gebruiker vindt het prima (want sociaal wenselijk) om iemand even iets op te laten zoeken op zijn/haar computer. Dus is het zaak ervoor te zorgen dat er in ieder geval een mogelijkheid tot beveiliging van de wachtwoorden is. Er hangt simpelweg te veel vanaf.

Dat kan bijvoorbeeld door elke keer dat een wachtwoord wordt geraadpleegd om het master-wachtwoord te vragen, of dat alleen de eerste keer per sessie te doen. Dan hoeft de gebruiker alleen even de browser opnieuw op te starten voor optimale beveiliging. En in het eerste scenario zouden alleen de reeds geopende diensten gevaar lopen als de gebruiker dat verzuimt. Als een gebruiker ervoor kiest om geen master-wachtwoord in te stellen dan is dat zijn/haar eigen probleem, maar een browser moet wel bepaalde ondersteuning bieden en deze ten minste voordragen als standaardinstelling.
Er is geen verschil met een master password in deze situatie. In dit geval stel je een wachtwoord in voor je useraccount, anders had je hem ingesteld voor je browser. Dat komt toch op hetzelfde neer? Het blijft je eigen verantwoordelijkheid.
Van gebruikers verwachten dat ze automatisch uit willen laten loggen en steeds weer inloggen, is hetzelfde als verwachten dat ze zelf al verschillende wachtwoorden gebruiken, of dit systeem van chrome willen gebruiken. Allemaal niet waarschijnlijk bij de gemiddelde gebruiker. Zeker bij een thuisgebruiker.
Je kunt ook gewoon je lockscreen aanzetten. Ik denk niet dat dat voor veel mensen een probleem is, maar je moet het natuurlijk niet vergeten.
Het is verantwoordelijkheid afschuiven. Google claimt zijn browser niet te hoeven beveiligen tegen zulke zaken omdat het OS beveiligd is en dat daar op vertrouwd wordt. Zodra iemand toegang heeft tot het OS kan het potentieel tientallen tot honderden wachtwoorden in zien en kopiŽren zonder dat er een extra beveiligingslaag in zit.

De browser zelf is zo lek als een mandje wat betreft wachtwoord beveiliging maar wordt niet als issue gezien omdat het OS veilig is. Dat lijkt mij niet de juiste insteek.
Het is verantwoordelijkheid afschuiven. Google claimt zijn browser niet te hoeven beveiligen tegen zulke zaken omdat het OS beveiligd is en dat daar op vertrouwd wordt. Zodra iemand toegang heeft tot het OS kan het potentieel tientallen tot honderden wachtwoorden in zien en kopiŽren zonder dat er een extra beveiligingslaag in zit.

De browser zelf is zo lek als een mandje wat betreft wachtwoord beveiliging maar wordt niet als issue gezien omdat het OS veilig is. Dat lijkt mij niet de juiste insteek.
Zo lek als een mandje is wel overdreven natuurlijk, dat impliceert dat er wel geprobeerd is om het anders te doen. Verder vraag ik me af wat volgens jou de oplossing dan moet zijn. Een master password? Dat is namelijk gewoon precies hetzelfde als dit.
Ik vind het wel een juiste insteek.

Als je al ingelogd bent op het gebruikersaccount, wat voor meerwaarde heeft het met pijn en moeite afschermen van de wachtwoorden dan nog? Vrijwel elke site die beveiligd is met wachtwoorden heeft ook een "wachtwoord vergeten knopje" waarbij je via de mail een link krijgt om het wachtwoord nieuw in te stellen. En mail kun je gewoonlijk gewoon ophalen want de login gegevens zijn opgeslagen bij het e-mail account. Je kan dus zo het wachtwoord resetten en toegang krijgen.

Bovendien kun je, eenmaal ingelogd op het gebruikersaccount, ook een keylogger of andere spyware installeren. Ook kun je snel het profiel kopiŽren en dan later op je gemak de wachtwoorden kraken.

Met andere woorden, heb je eenmaal toegang tot je gebruikersaccount dan is je beveiliging al gebroken. Dan nog zware beveiliging eisen van je browser lijkt dan meer op een marketing gimmick dan dat het echt zinvol is. Lichte beveiliging is voldoende, het voorkomt alleen dat je het meteen in leesbare tekst ziet en dat is voldoende.

Overigens zijn ook de door Firefox opgeslagen wachtwoorden gemakkelijk te exporteren, er is zelfs een addon voor. Is dus niet alleen Chrome. Het echte probleem ligt eerder doordat er is de toegang is gekregen tot het gebruikersaccount.
Beste mensen, ook bij dit geldt weer: Je hoeft het niet te gebruiken! Zo is het bij alles bij Google, het hoeft niet en omdat het niet hoeft wordt het populair. Dat hebben ze goed begrepen bij Google.
ik ben zeer terughoudend om wachtwoorden in Chrome op te slaan. Of in welke browser dan ook. Zoals een ketting even sterk is als de zwakste schakel, zo ook hier.
1. in geval van fraude: Als iemand toegang heeft tot mijn hoofdaccount, dan heeft deze persoon toegang tot alles.
Dan kan die persoon al mijn gegevens in Chrome synchroniseren en inladen in een Chrome-installatie bij hem thuis, en rustig alles uitzoeken en misbruiken, zonder dat ik het weet.
2. wat er fout kan gaan, zonder dat er sprake van fraude is: Als ik wachtwoorden zou laten onthouden door Chrome, dan zal ik ze zelf vergeten, omdat ik ze nooit meer zelf invul. Als ik dan op een gastcomputer wil inloggen op een site, dan ben ik gedwongen om daarop Chrome te synchroniseren met mijn eigen account. Ik adviseer een ieder om dat NOOIT te doen. Want dan loop je het risico, dat je eigen browsergeschiedenis, favorieten en instellingen worden vermengt met diezelfde gegevens van de gastheer, en dat is niet terug te draaien. En nog afgezien van de privacy, zowel jijzelf als de gastheer hebben daar last van.
Nu zou je op de gastcomputer een extra gebruikersaccount in Chrome speciaal voor jezelf kunnen aanmaken (meerdere gebruikersaccounts zijn mogelijk in de ontwikkelversie), maar dan moet je niet vergeten die weer te verwijderen. Bovendien is dat veel te omslachtig.

Ik had veel liever gezien, dat Chrome dit soort persoonlijke gegevens nooit lokaal opslaat, maar vanuit de cloud benadert, zoals de google-toolbar dat wel doet. Maar die plugin kun je niet gebruiken in Chrome, alleen in andere browsers.
Dit lijkt me extreem vervelend als je door een brand of harddisk crash zonder backup windows opnieuw moet installeren en je weet hierdoor zelfs niet meer je eigen e-mail toegangscode.

[Reactie gewijzigd door scribly2 op 20 februari 2012 16:33]

Bovendien werkt het alleen bij nieuwe registraties en niet bij diensten waarbij de gebruiker al is geregistreerd en inlogt.

http://i.imgur.com/xm9OK.png
Nouja zeg. Nog even doorgaan google en je kunt met al je gegevens een staatsgreep plegen op het internet. (bwvs)
Ten eerste vraag ik mij af in hoeverre iemand zo'n wachtwoord kan onthouden. Ten tweede staat Chrome er niet voor bekend veilig om te springen met wachtwoorden. En ten derde: Chrome maakt die wachtwoord waarscheinlijk met een algoritme, als iemand er in slaagt dat algoritme te achterhalen, kan hij ongestoord wachtwoorden binnen dat algoritme uitproberen.
1. Onthouden is dus straks niet meer nodig in chrome. Ben je het vergeten vraag je een nieuwe aan.
2. Daar heb je misschien een punt. Maar alleen al door het invoeren van een wachtwoord op een computer loop je al het risico dat er iemand mee kijkt of het opslaat.
3. Een algoritme wachtwoord lijkt me nog steeds veiliger dan wachtwoorden die meeste mensen bedenken. Het lijkt mij dat ze zo'n generator zo maken dat het velig is. Misschien maken ze een tweede algoritme die het eerste algoritme beinvloed ofzo :P weet ik veel. Hebben ze tegenwoordig niet nogsteeds supercomputers nodig om wachtwoorden te kraken?
1. Onthouden is dus straks niet meer nodig in chrome. Ben je het vergeten vraag je een nieuwe aan.
2. Daar heb je misschien een punt. Maar alleen al door het invoeren van een wachtwoord op een computer loop je al het risico dat er iemand mee kijkt of het opslaat.
3. Een algoritme wachtwoord lijkt me nog steeds veiliger dan wachtwoorden die meeste mensen bedenken. Het lijkt mij dat ze zo'n generator zo maken dat het velig is. Misschien maken ze een tweede algoritme die het eerste algoritme beinvloed ofzo :P weet ik veel. Hebben ze tegenwoordig niet nogsteeds supercomputers nodig om wachtwoorden te kraken?
ja ze hebben nog steeds supercomputers nodig, en daarom is het password "en zijn zoon heet jantje" net zo veilig als gsdga347^&$
Zijn wachtwoorden als "morgeun ewt ikke veels" niet veiliger dan "bdi739bUwnn/&:§ii"?

[Reactie gewijzigd door GeforceAA op 20 februari 2012 09:25]

nee, maar wel net zo veilig
Ja dus net zo veilig maar makkelijker te onthouden..
Ja dus net zo veilig maar makkelijker te onthouden..
nah makkelijker?
"morgen weet ik veel 123" is net zo veilig, en nog makkelijker.
Mijn wachtwoord voor net 74 tweakers
Mijn wachtwoord voor com 67 google

Kan niet missen :P

Het getal is de HEX ascii waarde van de 1e letter van het domeinnaam; makkelijk te voorspellen maar te moeilijk om te herkennen voor diegene die het wachtwoord te pakken hebben en op andere sites proberen.

- Makkelijk te onthouden voor iedere site
- Op iedere site ander wachtwoord
- Met cijfer, hoofdletter en kleine letters
- Lang
- "Onmogelijk" te brute-forcen
- Moeilijk voor outsiders om wachtwoorden voor andere sites te raden wanneer ze 1tje hebben

[Reactie gewijzigd door Gamebuster op 20 februari 2012 10:38]

werkt voor jou, omdat je waarschijnlijk een ietwat oudere tweaker bent die nog hex kan denken...
voor de moderne mens gaat ascii al veel te ver.
wel jammer trouwens....
heb ook nog steeds van die automatismen..F1,20,,41

[Reactie gewijzigd door 83718 op 20 februari 2012 10:57]

Nee, want die eerste is maar 26 tekens per character, wat dus vele malen sneller te brute-forcen is dan ruim 40 tekens per character. Ligt er aan hoe lang de wachtwoorden zijn e.d., maar enkel letters kan je tegenwoordig ontzettend snel bruteforcen. Als google dit zou doen zouden een hoop wachtwoorden alleen maar uit letters bestaan en werd het nog makkelijker om wachtwoorden te bruteforcen.
Nee, dat zijn 27 opties, je vergeet spatie. Die zin is 21 karakters. Ik tel 16 in de tweede optie.

27^21 = 1.14456127 ◊ 10^30

40^17 = 1.71798692 ◊ 10^27

Alleen zijn er geen 40 opties, maar 26+26 plus, laten we zeggen 10 cijfers en 10 symbolen:

72^17 = 3.75536746 ◊ 10^31

De verschillen zijn niet zo vreselijk groot. Gaat om over ongeveer 11 bits verschil. een paar karakters langer maakt veel meer uit:

27^24 = 2.25283995 ◊ 10^34

27^30 = 8.72796357 ◊ 10^42
ik mis de conclusie....
maar ga er vanuit dat iedereen op zijn toetsenbord toegang heeft tot ascii<128 karakters
en de eerste 31 tellen ook niet mee. heb je ruwweg 100 karakters....
Een simpele zin als "de kat krabt de krullen van de trap" biedt dus genoeg mogelijkheden.
35^100
enne...het is geen csi...niet van die apparaatjes die na het eerste goede getal opeens vastklikken... dus iedere mogelijkheid moet worden uitgeprobeerd.
't lijkt me (denk ik, maar misschien ben ik naief) dat een waarlijk belangrijk systeem je geen toegang meer geeft na 3 x verkeerde password.
Dan kan je doorgaan voor een systeempasword.....
(helaas is vernomen dat "system" of "user" dan wel vaak genoeg is)
(net mijn systeempassword veranderd in de kat krabt,,,,,etc()

[Reactie gewijzigd door 83718 op 20 februari 2012 12:28]

Dat geld toch enkel als je weet dat de paswoorden alleen uit letter kunnen bestaan?
Precies, en aangezien zijn wachtwoord enkel uit letters bestaan. Stel je voor google zou dat ook zeggen en implementeren in hun password generator. Dan weet je al direct dat een gros van de wachtwoorden enkel uit letters bestaan, dan zou ik persoonlijk eerst proberen die te bruteforcen om al wat resultaat te boeken.
Dit is wel leuk, maar wat ik eigenlijk zou willen zien is dat ik bij Chrome of Firefox gewoon kan inloggen en dat deze dan de bladwijzers en paswoorden van mijn account gebruikt en ik een profiel (zoals werk) kan kiezen als ik bij iemand anders ben.

Een beetje zoals ik nu lastpass en Xmarks gebruik, maar dan standaard ingebouwd in de browsers, zodat ik niet eerst deze software moet installeren als ik eens op een andere computer werk.

Dit geeft natuurlijk ook weer een nadeel dat als dit account gehackt wordt iemand meteen tot alles toegang heeft,maar dat zou dan weer op een andere manier tegengegaan kunnen worden met sms'jes en locatie analyse of zoiets.
Dat kan ook hoor. Je kunt inloggen in de Chrome browser. Kijk maar eens bij de nieuwste YouTube filmpjes van googlechrome
de vraag is dus eigenlijk.........
wil je dat?

[Reactie gewijzigd door 83718 op 20 februari 2012 13:06]

Op dit item kan niet meer gereageerd worden.



LG Nexus 5 (2015) Apple iPhone 6s FIFA 16 Microsoft Windows 10 Home NL Star Wars: Battlefront (2015) Samsung Gear S2 Skylake Samsung Galaxy S6 edge+

© 1998 - 2015 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True