Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 41 reacties

Google heeft een Chrome-extensie uitgebracht die kan waarschuwen voor phishing van Google-wachtwoorden. Door ingevoerde tekst te vergelijken met een hash van het wachtwoord, kan de uitbreiding waarschuwen wanneer het wachtwoord wordt ingetypt op een niet-Google-site.

De uitbreiding vergelijkt ingevoerde tekst met een hash van het Google-wachtwoord. Die hash wordt aangemaakt de eerste keer wanneer een gebruiker na installatie van de add-on inlogt op Google. De vergelijking gebeurt niet doorlopend, maar nadat een ingevoerde tekst is verzonden. Wanneer de ingevoerde tekst overeenkomt met het Google-wachtwoord, wordt de gebruiker naar een waarschuwingspagina geleid. Die raadt aan om het Google-wachtwoord meteen te wijzigen.

Password Alert controleert ook de HTML van iedere pagina die wordt bezocht, in een poging vervalste Google-inlogpagina's te vinden. Volgens Google verzendt de add-on geen gegevens tenzij hij wordt gebruikt in combinatie met Google For Work. In dat geval kan de beheerder ook meldingen ontvangen.

De add-on kan de gebruiker pas waarschuwen nadat zijn wachtwoord is ingevoerd op een mogelijk onveilige site. Daarnaast treedt de waarschuwing ook in werking wanneer het wachtwoord voor Google toevallig hetzelfde is als dat voor een andere dienst. Dat is overigens iets wat Google afraadt. Javascript moet zijn ingeschakeld voordat de add-on zijn werk kan doen. De uitbreiding is uitgeschakeld in incognitovensters of Chrome-apps. Voorlopig werkt de add-on alleen met wachtwoorden voor Google-accounts.

Moderatie-faq Wijzig weergave

Reacties (41)

Het is handig om te vermelden dat de extentie open source is.
De code is hier te vinden: https://github.com/google/password-alert
Ze keyloggen overigens niks voordat de aluhoedjes weer wakker worden. Het wordt pas na het invoeren en versturen gecontroleerd.
...dus het wordt pas gecontroleerd als het watchwoord al naar de phishing site gestuurd is?

Voor mijn aluhoedje heb ik liever dat ze dat ervoor doen.
Verder wordt er inderdaad in de FAQ vermeld:
Nee. Password Alert slaat toetsaanslagen niet op de schijf op en verzendt toetsaanslagen niet naar een extern systeem.

[Reactie gewijzigd door Jaahp op 29 april 2015 16:40]

Met Javascript (wat toch al lokaal draait) is dat wel af te vangen, dus klik je op send, wordt eerst middels AJAX een call gedaan naar Google om het wachtwoord te controleren. komt het wachtwoord overeen, zal er vast nog eea gedaan worden om te bepalen of het inderdaad phishing is (of het een bekende phishing site is bijvoorbeeld) en daarna pas versturen.

[Reactie gewijzigd door CH40S op 29 april 2015 16:41]

Met Javascript (wat toch al lokaal draait) is dat wel af te vangen, dus klik je op send, wordt eerst middels AJAX een call gedaan naar Google om het wachtwoord te controleren.
Uit de tekst:
Volgens Google verzendt de add-on geen gegevens tenzij hij wordt gebruikt in combinatie met Google For Work.
Dit kan je gewoon lokaal doen, wat de extensie ook doet.

Nog steeds klopt het dat een waarschuwing wordt gegeven voordat het wachtwoord daadwerkelijk wordt gestuurd.

Dus het volgende scenario voor phishing is dat 'Google' (=de phisher) vraagt aan de gebruiker om de werking van de phishing functionaliteit te controleren. :+
Uit de tekst:
Dit kan je gewoon lokaal doen, wat de extensie ook doet.
Ik had me idd nog niet helemaal in de werking verdiept, maar er zal toch (middels Javascript) eerst een call naar Google gedaan moeten worden om te weten te komen wat het juiste wachtwoord is. Daarna wordt het pas lokaal opgeslagen en met elkaar gecontroleerd.

[Reactie gewijzigd door CH40S op 29 april 2015 16:53]

[...]
Ik had me idd nog niet helemaal in de werking verdiept, maar er zal toch (middels Javascript) eerst een call naar Google gedaan moeten worden om te weten te komen wat het juiste wachtwoord is. Daarna wordt het pas lokaal opgeslagen en met elkaar gecontroleerd.
Je kan elke keer als gebruiker zijn wachtwoord opgeeft om in te loggen en als de gebruiker diens wachtwoord wijzigt lokaal een (gesalte) hashwaarde opslaan. Deze functionaliteit is mogelijk al aanwezig om de browser automatisch in te laten loggen. De extensie hoeft dan alleen het ingevulde wachtwoord te vergelijken met de (gesalte) hashwaarde. Dan is er geen extra call nodig, maar is het alleen een extra lokale functie die van bestaande gegevens en mutatieprocessen gebruik maakt.

[Reactie gewijzigd door The Zep Man op 29 april 2015 16:56]

Eens, maar in de FAQ van de extentie staat de werking anders omschreven en daar heb ik mijn vorige post op gebaseerd. ;)

[Reactie gewijzigd door CH40S op 29 april 2015 16:58]

Eens, maar in de FAQ van de extentie staat de werking anders omschreven en daar heb ik mijn vorige post op gebaseerd. ;)
Uit de FAQ:
Each time you successfully sign in to your Google account, Password Alert has temporary access to your correct password and saves a salted reduced-bit thumbnail of your password to Chrome local storage. It then compares this thumbnail to each password you enter in any website other than accounts.google.com (or, for Google for Work domains, websites whitelisted by the administrator).
Dus er wordt geen gebruik gemaakt van een bestaande opslagfunctie van (een fingerprint van) het wachtwoord. Er wordt van het werkelijke wachtwoord gebruik gemaakt wanneer het beschikbaar is (wanneer het door de gebruiker is ingevoerd). Dat kan nog steeds lokaal en daarvoor zijn er nog steeds geen nieuwe calls naar Google nodig.

Bij de installatie zal de gebruiker zich waarschijnlijk eenmaal opnieuw moeten authenticeren bij Google, zodat de extensie het wachtwoord kan afvangen.

[Reactie gewijzigd door The Zep Man op 29 april 2015 17:03]

Bij de installatie zal de gebruiker zich waarschijnlijk eenmaal opnieuw moeten authenticeren bij Google, zodat de extensie het wachtwoord kan afvangen.
Lijkt mij wel ja. We zeggen beiden overigens dus hetzelfde. :)
[...]
Lijkt mij wel ja. We zeggen beiden overigens dus hetzelfde. :)
Yup. We zijn eruit. :)

Ik denk dat deze functie niet fout hoeft te zijn. Sterker nog: dit zou doorgetrokken kunnen worden naar gebruikte password managers om een gebruiker bij de registratie/login op site B erop te ontmoedigen om het wachtwoord te gebruiken dat al bij site A wordt gebruikt. Natuurlijk kan een password manager voorzien in hulp (genereren van een wachtwoord, etc.), zodat de gebruiker geen tientallen wachtwoorden hoeft te onthouden.
Wat als ik nu een fishing site heb?
Dan vult iemand een wachtwoord in, en on submit, plur in midden in mijn eigen salt.
Hash dat ding en er komt geen Google Wachtwoord uit, maar het is mijn salt, dus server side, haal ik die er mooi weer tussenuit en klaar is klara; gegevens gefished.

Of denk ik nu te simpel?
Javascript werkt clientside, deze check vindt plaats voordat het formulier daadwerkelijk verstuurd wordt. In other words: wat je zou willen kan niet.
OK, dan doe je het on blur van het password veld :)
Of na het typen van de eerste letter voeg je er altijd een toe. En zet je de echte eerste letter in een ander verborgen veld.

[Reactie gewijzigd door djwice op 1 mei 2015 21:08]

Of gewoon nadat de user op de knop klikt om in te loggen, dan alles in een keer af te vangen en te controleren voor het formulier daadwerkelijk verzonden wordt. Met Javascript is dat allemaal af te vangen. ;)

[Reactie gewijzigd door CH40S op 1 mei 2015 21:53]

Ik denk dat je dan m'n eerste bericht niet begrepen hebt; onsubmit is volgens mij het event waar je nu op doelt, toch? Dat is het JavaScript event na de enter of click op de verstuur knop, maar voordat het formulier daadwerkelijk verstuurd wordt.
Ik snapte wat je bedoelde, maar zou ik onlogisch vinden, onsubmit heeft immers het complete wachtwoord, lijkt me. :)
Dat is inderdaad jammer, alleen alles keyloggen is ook niet bepaald een goed idee. Zo zou een andere extensie/applicatie daar misbruik van kunnen maken. Of voor mensen die het niet zo op Google hebben zouden ze kunnen denken dat keylogger data wordt doorgestuurd naar Google.

Al lijkt me het niet fijn om een keylogger van welke partij dan ook op mijn systeem te hebben, ook al is het voor een goed doel (beveiliging).

[Reactie gewijzigd door calvinturbo op 29 april 2015 16:40]

En toen was er een phishingsite die delen van het wachtwoord opknipte zoals een postcodeveld. Of die toetsaanslagen los registreert.

Met andere woorden: vast wel omheen te komen.

Bovendien verwacht ik niet dat de doelgroep van de phishers, de slachtoffers, deze add-on gaan installeren...
Kwestie van 1 karakter toevoegen aan het wachtwoord en de hash is al niet meer juist.

Waar wordt eigenlijk die hash opgeslagen van je wachtwoord? Immers als ik die nu via malware of andere wijz ekan grijpen, heb ik nu jouw Google wachtwoord.

Het lijkt mij dat deze addon het ene gevaar wisselt voor het andere.
Als ik het zo lees komt Google nauwgezet te weten welke sites jij bezoekt, waar je inlogt, welke gebruikersnaam je hebt en of het wachtwoord gelijk is aan het bij Google gebruikte wachtwoord. Een beetje veel informatie als je het mij vraagt. Dit doet niets af aan het nut dan de add-on overigens. Google is voortdurend bezig zich dieper te penetreren in je persoonlijke handel en wandel.
Lees de FAQ even, die ook in de tekst al gelinkt is.
Elke keer dat u inlogt bij uw Google-account, heeft Password Alert tijdelijk toegang tot uw juiste wachtwoord. Password Alert slaat een gesalte, reduced-bit-thumbnail op van uw wachtwoord in de lokale Chrome-opslagruimte. Vervolgens vergelijkt Password Alert deze thumbnail met elk wachtwoord dat u opgeeft op een andere website dan accounts.google.com (of, in Google for Work-domeinen, websites die op een witte lijst zijn geplaatst door de beheerder).
Oftewel: lokaal worden de gegevens opgeslagen, niet bij Google. En hier nogmaals:
Nee. Password Alert slaat toetsaanslagen niet op de schijf op en verzendt toetsaanslagen niet naar een extern systeem.
Neem aan, dat dit ten opzichte van de eigen PC is.

Ik snap dat het dan alsnog het woord van Google is, maar zou wat zijn, als blijkt dat ze het toch opslaan, denk je ook niet? Zoiets heeft grote gevolgen voor Google, waar ook zij niet op zitten te wachten.

Als je 'echt zo bang voor Google bent, dan gebruik je namelijk ook geen Chrome.

[Reactie gewijzigd door CH40S op 29 april 2015 16:51]

Het gaat om het wachtwoord dat je bij Google gebruikt. Als ze willen hebben ze bij de volgende loginpoging daar sowieso toegang toe terwijl wij geen verschil zien. Het probleem kan juist zijn dat als je een melding krijgt dat je ergens anders hetzelfde wachtwoord ingevuld hebt dat dat ook gelijk wordt gemeld bij Google (weet ik niet zeker, probeer de source nog uit te vogelen). Op die manier zou Google kunnen bijhouden waar je hetzelfde wachtwoord gebruikt.
Het wachtwoord wordt eenmalig opgehaald bij Google en wordt - encrypted - lokaal opgeslagen. Vervolgens wordt het ingevoerde wachtwoord daarmee gematched.
Nee natuurlijk wordt het niet opgehaald bij Google. Ze hebben je wachtwoord niet in plaintext (al hebben ze dat, ze zullen het niet laten blijken). De eerstvolgende keer dat je successvol inlogt gebruikt de plugin het om er een hash van te maken. In mijn ogen is het probleem niet zo zeer dat je browser je wachtwoord gebruikt om een hash te maken, maar dat Google mogelijk kan zien dat je je wachtwoord ergens anders gebruikt (en mogelijk dan ook waar). Ik heb nog geen voorbeeld gezien van de waarschuwingspagina, maar als daar een tracker in zit kan Google makkelijk een lijstje maken waar ik hetzelfde of een ander wachtwoord gebruik.
Nee natuurlijk wordt het niet opgehaald bij Google.
En hoe had je dan in gedachten om te kunnen controleren of het ingevoerde wachtwoord gelijk is aan je Google-account? 8)7 Dat is namelijk het enige wat deze extensie doet, eenmalig (en ik neem aan wanneer het wachtwoord gewijzigd is). Het staat nota bene in de FAQ wat het doet, ik stel voor om die even te lezen.

[Reactie gewijzigd door CH40S op 30 april 2015 18:58]

Als je je wachtwoord invoerd en die blijkt correct, dan hoef je die toch niet meer bij Google op te halen? Lees de FAQ ook eens. Er staat NIET dat het wachwoord wordt opgehaald bij Google. Er staat dat het toegang heeft tot het correcte wachtwoord als je inlogt.
Als je je wachtwoord invoerd en die blijkt correct, dan hoef je die toch niet meer bij Google op te halen? Lees de FAQ ook eens. Er staat NIET dat het wachwoord wordt opgehaald bij Google. Er staat dat het toegang heeft tot het correcte wachtwoord als je inlogt.
Je zal ergens een begin moeten maken en er is maar 1 bron waar de plugin dat (voor zichzelf) betrouwbaar kan ophalen; bij de bron zelf. Kan je hoog en laag springen, maar je zal ergens mee moeten kunnen vergelijken en dat moet ergens vandaan komen als je het - encrypted - lokaal wil opslaan. Dat kan niet uit de lucht komen vallen of zo. En he dat dan gebeurd, dat maakt dan inderdaad niets uit, ik zeg alleen dat het berhaupt dient te gebeuren.

[Reactie gewijzigd door CH40S op 1 mei 2015 00:29]

Kun je nou niet bedenken dat als je het wachtwoord invoerd bij Google en Google vertelt dat dat wachtwoord goed is, doen hoef je toch niet meer bij een betrouwbare bron dat wachtwoord weer op te halen? De betrouwbare bron heeft net geverifieerd dat het wachtwoord klopt.
Dat kan ik wel bedenken, maar zo werkt de extensie nu eenmaal niet, lees de FAQ er maar eens op na, staat het allemaal in uitgelegd en de bron staat op github meen ik (URL staat in een van de reacties hier), voor als je het niet gelooft, dan kun je het zelf nakijken.

Lijkt me ook niet dat Google resources in gaat zetten om die hashes te maken voor de user zelf, lijkt me vrij intensief als je en veel users hebt en veel gebruikers van die extensie hebt.

[Reactie gewijzigd door CH40S op 1 mei 2015 22:25]

Precies zoals je zegt, ze proberen steeds meer info van je te verkrijgen. Ik gebruik google chrome op mijn android telefoon, pc, en laptop, dus ze weten genoeg van me. Is niet anders, zo denk ik maar, ze moeten geld verdienen, met alle gratis programma's die ze je bieden. Maak er dankbaar gebruik van, dus neem dit maar op de koop toe.
Als je sync aanhebt zullen ze inderdaad weten welke websites jij bezoekt etc.. Als je dat uitzet, is dat niet het geval. Gegevens van Analytics en Doubleclick mogen namelijk niet aan jouw persoonlijke profiel (naam) worden gekoppeld, volgens hun voorwaarden.
Welke sites jij bezoekt, weet Google al. D.m.v. cookies/beacons/weet ik het.

En die extensie is alleen actief bij Google domeinen, dus je gebruikersnaam weten ze ook al.
Je hebt gelukkig niet gelijk:
Volgens Google verzendt de add-on geen gegevens tenzij hij wordt gebruikt in combinatie met Google For Work. In dat geval kan de beheerder ook meldingen ontvangen.
Ga je nu serieus beweren dat Google mijn wachtwoord WIL weten?

Dan heb je echt geen idee hoeveel werk Google steekt in de beveiliging van de producten, en is je bewering niet veel meer dan FUD.

Dit is een dienst, een service, om hun product nog veiliger te maken. Het is al praktisch het veiligste cloudproduct (en, 'arguable', de veiligste identityprovider, zefls als je het lokaal wil doen).

Dit staat volledig los van profilering. Profilering is belangrijk om de compititie voor te blijven, om relevantere en betere advertenties te tonen en daarmee de cashflow te vergroten of te behouden. D voorwaarde voor een onderneming. Gelukkig doen ze dat met een hoog gevoel voor privacy.

[Reactie gewijzigd door RielN op 30 april 2015 08:48]

Gaat leuk worden voor mensen die hun wachtwoorden recyclen. Zou er ook een whitelist in zitten?
Die mensen verdienen dit.
Ik denk eigenlijk dat, omdat het een optionele extentie is, je het grootste deel van de doelgroep zo misloopt. Als je zo op je hoede bent dat je een extentie tegen phishing installeert zal phishing je ook niet zo snel overkomen.
Daar heb je gelijk in, maar Google Chrome moet ook niet te bloated worden uiteraard..
Titel zou impliceren dat het in z'n geheel tegen phising zou gaan:
Voorlopig werkt de add-on alleen met wachtwoorden voor Google-accounts.
Maar dus geen andere bekende logins zoals facebook, twitter of soortgelijke.

Ben benieuwd of er mensen nauwlettend gaan kijken wat deze extensie precies doet, het is niet de eerste keer dat Google iets 'per ongeluk' doet.

[Reactie gewijzigd door SinergyX op 29 april 2015 16:48]

''kan de uitbreiding waarschuwen wanneer het wachtwoord wordt ingetypt op een niet-Google-site''
''De uitbreiding vergelijkt ingevoerde tekst met een hash van het Google-wachtwoord''

bedoelen ze hier, dat je bijvoorbeeld inlogd met je google account, het wachtwoord opslaat en dan gaat google kijken of de wachtwoorden overheen komen ?

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True