Google komt met Chrome-extensie die phishing moet voorkomen

Google heeft een Chrome-extensie uitgebracht die kan waarschuwen voor phishing van Google-wachtwoorden. Door ingevoerde tekst te vergelijken met een hash van het wachtwoord, kan de uitbreiding waarschuwen wanneer het wachtwoord wordt ingetypt op een niet-Google-site.

De uitbreiding vergelijkt ingevoerde tekst met een hash van het Google-wachtwoord. Die hash wordt aangemaakt de eerste keer wanneer een gebruiker na installatie van de add-on inlogt op Google. De vergelijking gebeurt niet doorlopend, maar nadat een ingevoerde tekst is verzonden. Wanneer de ingevoerde tekst overeenkomt met het Google-wachtwoord, wordt de gebruiker naar een waarschuwingspagina geleid. Die raadt aan om het Google-wachtwoord meteen te wijzigen.

Password Alert controleert ook de HTML van iedere pagina die wordt bezocht, in een poging vervalste Google-inlogpagina's te vinden. Volgens Google verzendt de add-on geen gegevens tenzij hij wordt gebruikt in combinatie met Google For Work. In dat geval kan de beheerder ook meldingen ontvangen.

De add-on kan de gebruiker pas waarschuwen nadat zijn wachtwoord is ingevoerd op een mogelijk onveilige site. Daarnaast treedt de waarschuwing ook in werking wanneer het wachtwoord voor Google toevallig hetzelfde is als dat voor een andere dienst. Dat is overigens iets wat Google afraadt. Javascript moet zijn ingeschakeld voordat de add-on zijn werk kan doen. De uitbreiding is uitgeschakeld in incognitovensters of Chrome-apps. Voorlopig werkt de add-on alleen met wachtwoorden voor Google-accounts.

Door Friso Weijers

Redacteur

Feedback • 29-04-2015 16:22 41

29-04-2015 • 16:22

41

Lees meer

Google Chrome

geen prijs bekend

4.5 van 5 sterren
Google Drive-functie voorspelt zoekopdrachten op basis van gebruikerspatronen
Google Drive-functie voorspelt zoekopdrachten op basis van gebruikerspatronen Nieuws van 30 september 2016
'Voor het eerst in lange tijd is minder dan helft e-mails spam'
'Voor het eerst in lange tijd is minder dan helft e-mails spam' Nieuws van 17 juli 2015
Chrome gaat vaker waarschuwen voor ongewenste software
Chrome gaat vaker waarschuwen voor ongewenste software Nieuws van 16 juli 2015
Chrome lijkt ondersteuning voor webbluetooth te krijgen
Chrome lijkt ondersteuning voor webbluetooth te krijgen Nieuws van 11 mei 2015
Anti-phishing-extensie van Google Chrome nu al omzeild - update
Anti-phishing-extensie van Google Chrome nu al omzeild - update Nieuws van 1 mei 2015
Android krijgt 'dev channel' Google Chrome
Android krijgt 'dev channel' Google Chrome Nieuws van 30 april 2015
Google: zeventig nieuwe third-party-apps voor Now
Google: zeventig nieuwe third-party-apps voor Now Nieuws van 28 april 2015
Google maakt notificaties van websites mogelijk in Chrome voor Android
Google maakt notificaties van websites mogelijk in Chrome voor Android Nieuws van 21 april 2015
Google: quic-protocol maakt laden van webpagina's sneller
Google: quic-protocol maakt laden van webpagina's sneller Nieuws van 19 april 2015
Chrome OS met nieuwe launcher en Material Design komt uit
Chrome OS met nieuwe launcher en Material Design komt uit Nieuws van 17 april 2015
Google blijft Chrome voor Windows XP nog het hele jaar ondersteunen
Google blijft Chrome voor Windows XP nog het hele jaar ondersteunen Nieuws van 17 april 2015
Chrome-extensie Google laat gebruikers Android-apps draaien op Windows en OS X
Chrome-extensie Google laat gebruikers Android-apps draaien op Windows en OS X Nieuws van 2 april 2015
Google blokkeert alle ssl-certificaten van Chinese certificaatautoriteit
Google blokkeert alle ssl-certificaten van Chinese certificaatautoriteit Nieuws van 2 april 2015
Chrome krijgt geen Dart maar wel pointer events
Chrome krijgt geen Dart maar wel pointer events Nieuws van 26 maart 2015
Bèta Chrome for Android maakt notificaties voor websites mogelijk
Bèta Chrome for Android maakt notificaties voor websites mogelijk Nieuws van 12 maart 2015
Google stopt met ondersteunen van Chrome voor Android 4.0
Google stopt met ondersteunen van Chrome voor Android 4.0 Nieuws van 3 maart 2015
Google gaat Pwnium-beloningsprogramma gehele jaar openstellen
Google gaat Pwnium-beloningsprogramma gehele jaar openstellen Nieuws van 25 februari 2015
Meer producten en artikelen
Browsers Google Phishing Wachtwoord

Reacties (41)

-Moderatie-faq
41
41
30
1
0
0
Wijzig sortering

Sorteer op:

Weergave:
Jaahp 29 april 2015 17:10
Het is handig om te vermelden dat de extentie open source is.
De code is hier te vinden: https://github.com/google/password-alert
calvinturbo 29 april 2015 16:26
Ze keyloggen overigens niks voordat de aluhoedjes weer wakker worden. Het wordt pas na het invoeren en versturen gecontroleerd.
Jaahp @calvinturbo29 april 2015 16:35
...dus het wordt pas gecontroleerd als het watchwoord al naar de phishing site gestuurd is?

Voor mijn aluhoedje heb ik liever dat ze dat ervoor doen.
Verder wordt er inderdaad in de FAQ vermeld:
Nee. Password Alert slaat toetsaanslagen niet op de schijf op en verzendt toetsaanslagen niet naar een extern systeem.

[Reactie gewijzigd door Jaahp op 27 juli 2024 04:40]

CH4OS @Jaahp29 april 2015 16:40
Met Javascript (wat toch al lokaal draait) is dat wel af te vangen, dus klik je op send, wordt eerst middels AJAX een call gedaan naar Google om het wachtwoord te controleren. komt het wachtwoord overeen, zal er vast nog eea gedaan worden om te bepalen of het inderdaad phishing is (of het een bekende phishing site is bijvoorbeeld) en daarna pas versturen.

[Reactie gewijzigd door CH4OS op 27 juli 2024 04:40]

The Zep Man
@CH4OS29 april 2015 16:49
Met Javascript (wat toch al lokaal draait) is dat wel af te vangen, dus klik je op send, wordt eerst middels AJAX een call gedaan naar Google om het wachtwoord te controleren.
Uit de tekst:
Volgens Google verzendt de add-on geen gegevens tenzij hij wordt gebruikt in combinatie met Google For Work.
Dit kan je gewoon lokaal doen, wat de extensie ook doet.

Nog steeds klopt het dat een waarschuwing wordt gegeven voordat het wachtwoord daadwerkelijk wordt gestuurd.

Dus het volgende scenario voor phishing is dat 'Google' (=de phisher) vraagt aan de gebruiker om de werking van de phishing functionaliteit te controleren. :+
CH4OS @The Zep Man29 april 2015 16:52
Uit de tekst:
Dit kan je gewoon lokaal doen, wat de extensie ook doet.
Ik had me idd nog niet helemaal in de werking verdiept, maar er zal toch (middels Javascript) eerst een call naar Google gedaan moeten worden om te weten te komen wat het juiste wachtwoord is. Daarna wordt het pas lokaal opgeslagen en met elkaar gecontroleerd.

[Reactie gewijzigd door CH4OS op 27 juli 2024 04:40]

The Zep Man
@CH4OS29 april 2015 16:54
[...]
Ik had me idd nog niet helemaal in de werking verdiept, maar er zal toch (middels Javascript) eerst een call naar Google gedaan moeten worden om te weten te komen wat het juiste wachtwoord is. Daarna wordt het pas lokaal opgeslagen en met elkaar gecontroleerd.
Je kan elke keer als gebruiker zijn wachtwoord opgeeft om in te loggen en als de gebruiker diens wachtwoord wijzigt lokaal een (gesalte) hashwaarde opslaan. Deze functionaliteit is mogelijk al aanwezig om de browser automatisch in te laten loggen. De extensie hoeft dan alleen het ingevulde wachtwoord te vergelijken met de (gesalte) hashwaarde. Dan is er geen extra call nodig, maar is het alleen een extra lokale functie die van bestaande gegevens en mutatieprocessen gebruik maakt.

[Reactie gewijzigd door The Zep Man op 27 juli 2024 04:40]

CH4OS @The Zep Man29 april 2015 16:57
Eens, maar in de FAQ van de extentie staat de werking anders omschreven en daar heb ik mijn vorige post op gebaseerd. ;)

[Reactie gewijzigd door CH4OS op 27 juli 2024 04:40]

The Zep Man
@CH4OS29 april 2015 17:02
Eens, maar in de FAQ van de extentie staat de werking anders omschreven en daar heb ik mijn vorige post op gebaseerd. ;)
Uit de FAQ:
Each time you successfully sign in to your Google account, Password Alert has temporary access to your correct password and saves a salted reduced-bit thumbnail of your password to Chrome local storage. It then compares this thumbnail to each password you enter in any website other than accounts.google.com (or, for Google for Work domains, websites whitelisted by the administrator).
Dus er wordt geen gebruik gemaakt van een bestaande opslagfunctie van (een fingerprint van) het wachtwoord. Er wordt van het werkelijke wachtwoord gebruik gemaakt wanneer het beschikbaar is (wanneer het door de gebruiker is ingevoerd). Dat kan nog steeds lokaal en daarvoor zijn er nog steeds geen nieuwe calls naar Google nodig.

Bij de installatie zal de gebruiker zich waarschijnlijk eenmaal opnieuw moeten authenticeren bij Google, zodat de extensie het wachtwoord kan afvangen.

[Reactie gewijzigd door The Zep Man op 27 juli 2024 04:40]

CH4OS @The Zep Man29 april 2015 17:09
Bij de installatie zal de gebruiker zich waarschijnlijk eenmaal opnieuw moeten authenticeren bij Google, zodat de extensie het wachtwoord kan afvangen.
Lijkt mij wel ja. We zeggen beiden overigens dus hetzelfde. :)
The Zep Man
@CH4OS29 april 2015 17:13
[...]
Lijkt mij wel ja. We zeggen beiden overigens dus hetzelfde. :)
Yup. We zijn eruit. :)

Ik denk dat deze functie niet fout hoeft te zijn. Sterker nog: dit zou doorgetrokken kunnen worden naar gebruikte password managers om een gebruiker bij de registratie/login op site B erop te ontmoedigen om het wachtwoord te gebruiken dat al bij site A wordt gebruikt. Natuurlijk kan een password manager voorzien in hulp (genereren van een wachtwoord, etc.), zodat de gebruiker geen tientallen wachtwoorden hoeft te onthouden.
djwice @CH4OS29 april 2015 21:02
Wat als ik nu een fishing site heb?
Dan vult iemand een wachtwoord in, en on submit, plur in midden in mijn eigen salt.
Hash dat ding en er komt geen Google Wachtwoord uit, maar het is mijn salt, dus server side, haal ik die er mooi weer tussenuit en klaar is klara; gegevens gefished.

Of denk ik nu te simpel?
CH4OS @djwice30 april 2015 01:11
Javascript werkt clientside, deze check vindt plaats voordat het formulier daadwerkelijk verstuurd wordt. In other words: wat je zou willen kan niet.
djwice @CH4OS1 mei 2015 21:08
OK, dan doe je het on blur van het password veld :)
Of na het typen van de eerste letter voeg je er altijd een toe. En zet je de echte eerste letter in een ander verborgen veld.

[Reactie gewijzigd door djwice op 27 juli 2024 04:40]

CH4OS @djwice1 mei 2015 21:53
Of gewoon nadat de user op de knop klikt om in te loggen, dan alles in een keer af te vangen en te controleren voor het formulier daadwerkelijk verzonden wordt. Met Javascript is dat allemaal af te vangen. ;)

[Reactie gewijzigd door CH4OS op 27 juli 2024 04:40]

djwice @CH4OS2 mei 2015 15:09
Ik denk dat je dan m'n eerste bericht niet begrepen hebt; onsubmit is volgens mij het event waar je nu op doelt, toch? Dat is het JavaScript event na de enter of click op de verstuur knop, maar voordat het formulier daadwerkelijk verstuurd wordt.
CH4OS @djwice2 mei 2015 16:14
Ik snapte wat je bedoelde, maar zou ik onlogisch vinden, onsubmit heeft immers het complete wachtwoord, lijkt me. :)
calvinturbo @Jaahp29 april 2015 16:36
Dat is inderdaad jammer, alleen alles keyloggen is ook niet bepaald een goed idee. Zo zou een andere extensie/applicatie daar misbruik van kunnen maken. Of voor mensen die het niet zo op Google hebben zouden ze kunnen denken dat keylogger data wordt doorgestuurd naar Google.

Al lijkt me het niet fijn om een keylogger van welke partij dan ook op mijn systeem te hebben, ook al is het voor een goed doel (beveiliging).

[Reactie gewijzigd door calvinturbo op 27 juli 2024 04:40]

gertvdijk 29 april 2015 16:28
En toen was er een phishingsite die delen van het wachtwoord opknipte zoals een postcodeveld. Of die toetsaanslagen los registreert.

Met andere woorden: vast wel omheen te komen.

Bovendien verwacht ik niet dat de doelgroep van de phishers, de slachtoffers, deze add-on gaan installeren...
Armin @gertvdijk29 april 2015 19:47
Kwestie van 1 karakter toevoegen aan het wachtwoord en de hash is al niet meer juist.

Waar wordt eigenlijk die hash opgeslagen van je wachtwoord? Immers als ik die nu via malware of andere wijz ekan grijpen, heb ik nu jouw Google wachtwoord.

Het lijkt mij dat deze addon het ene gevaar wisselt voor het andere.
Verwijderd 29 april 2015 16:27
Als ik het zo lees komt Google nauwgezet te weten welke sites jij bezoekt, waar je inlogt, welke gebruikersnaam je hebt en of het wachtwoord gelijk is aan het bij Google gebruikte wachtwoord. Een beetje veel informatie als je het mij vraagt. Dit doet niets af aan het nut dan de add-on overigens. Google is voortdurend bezig zich dieper te penetreren in je persoonlijke handel en wandel.
CH4OS @Verwijderd29 april 2015 16:46
Lees de FAQ even, die ook in de tekst al gelinkt is.
Elke keer dat u inlogt bij uw Google-account, heeft Password Alert tijdelijk toegang tot uw juiste wachtwoord. Password Alert slaat een gesalte, reduced-bit-thumbnail op van uw wachtwoord in de lokale Chrome-opslagruimte. Vervolgens vergelijkt Password Alert deze thumbnail met elk wachtwoord dat u opgeeft op een andere website dan accounts.google.com (of, in Google for Work-domeinen, websites die op een witte lijst zijn geplaatst door de beheerder).
Oftewel: lokaal worden de gegevens opgeslagen, niet bij Google. En hier nogmaals:
Nee. Password Alert slaat toetsaanslagen niet op de schijf op en verzendt toetsaanslagen niet naar een extern systeem.
Neem aan, dat dit ten opzichte van de eigen PC is.

Ik snap dat het dan alsnog het woord van Google is, maar zou wat zijn, als blijkt dat ze het toch opslaan, denk je ook niet? Zoiets heeft grote gevolgen voor Google, waar ook zij niet op zitten te wachten.

Als je 'echt zo bang voor Google bent, dan gebruik je namelijk ook geen Chrome.

[Reactie gewijzigd door CH4OS op 27 juli 2024 04:40]

M.l. @CH4OS30 april 2015 02:49
Het gaat om het wachtwoord dat je bij Google gebruikt. Als ze willen hebben ze bij de volgende loginpoging daar sowieso toegang toe terwijl wij geen verschil zien. Het probleem kan juist zijn dat als je een melding krijgt dat je ergens anders hetzelfde wachtwoord ingevuld hebt dat dat ook gelijk wordt gemeld bij Google (weet ik niet zeker, probeer de source nog uit te vogelen). Op die manier zou Google kunnen bijhouden waar je hetzelfde wachtwoord gebruikt.
CH4OS @M.l.30 april 2015 14:50
Het wachtwoord wordt eenmalig opgehaald bij Google en wordt - encrypted - lokaal opgeslagen. Vervolgens wordt het ingevoerde wachtwoord daarmee gematched.
M.l. @CH4OS30 april 2015 16:50
Nee natuurlijk wordt het niet opgehaald bij Google. Ze hebben je wachtwoord niet in plaintext (al hebben ze dat, ze zullen het niet laten blijken). De eerstvolgende keer dat je successvol inlogt gebruikt de plugin het om er een hash van te maken. In mijn ogen is het probleem niet zo zeer dat je browser je wachtwoord gebruikt om een hash te maken, maar dat Google mogelijk kan zien dat je je wachtwoord ergens anders gebruikt (en mogelijk dan ook waar). Ik heb nog geen voorbeeld gezien van de waarschuwingspagina, maar als daar een tracker in zit kan Google makkelijk een lijstje maken waar ik hetzelfde of een ander wachtwoord gebruik.
CH4OS @M.l.30 april 2015 18:57
Nee natuurlijk wordt het niet opgehaald bij Google.
En hoe had je dan in gedachten om te kunnen controleren of het ingevoerde wachtwoord gelijk is aan je Google-account? 8)7 Dat is namelijk het enige wat deze extensie doet, eenmalig (en ik neem aan wanneer het wachtwoord gewijzigd is). Het staat nota bene in de FAQ wat het doet, ik stel voor om die even te lezen.

[Reactie gewijzigd door CH4OS op 27 juli 2024 04:40]

M.l. @CH4OS1 mei 2015 00:07
Als je je wachtwoord invoerd en die blijkt correct, dan hoef je die toch niet meer bij Google op te halen? Lees de FAQ ook eens. Er staat NIET dat het wachwoord wordt opgehaald bij Google. Er staat dat het toegang heeft tot het correcte wachtwoord als je inlogt.
CH4OS @M.l.1 mei 2015 00:26
Als je je wachtwoord invoerd en die blijkt correct, dan hoef je die toch niet meer bij Google op te halen? Lees de FAQ ook eens. Er staat NIET dat het wachwoord wordt opgehaald bij Google. Er staat dat het toegang heeft tot het correcte wachtwoord als je inlogt.
Je zal ergens een begin moeten maken en er is maar 1 bron waar de plugin dat (voor zichzelf) betrouwbaar kan ophalen; bij de bron zelf. Kan je hoog en laag springen, maar je zal ergens mee moeten kunnen vergelijken en dat moet ergens vandaan komen als je het - encrypted - lokaal wil opslaan. Dat kan niet uit de lucht komen vallen of zo. En hóe dat dan gebeurd, dat maakt dan inderdaad niets uit, ik zeg alleen dat het überhaupt dient te gebeuren.

[Reactie gewijzigd door CH4OS op 27 juli 2024 04:40]

M.l. @CH4OS1 mei 2015 19:21
Kun je nou niet bedenken dat als je het wachtwoord invoerd bij Google en Google vertelt dat dat wachtwoord goed is, doen hoef je toch niet meer bij een betrouwbare bron dat wachtwoord weer op te halen? De betrouwbare bron heeft net geverifieerd dat het wachtwoord klopt.
CH4OS @M.l.1 mei 2015 21:54
Dat kan ik wel bedenken, maar zo werkt de extensie nu eenmaal niet, lees de FAQ er maar eens op na, staat het allemaal in uitgelegd en de bron staat op github meen ik (URL staat in een van de reacties hier), voor als je het niet gelooft, dan kun je het zelf nakijken.

Lijkt me ook niet dat Google resources in gaat zetten om die hashes te maken voor de user zelf, lijkt me vrij intensief als je en veel users hebt en veel gebruikers van die extensie hebt.

[Reactie gewijzigd door CH4OS op 27 juli 2024 04:40]

Ruw ER @Verwijderd29 april 2015 16:32
Precies zoals je zegt, ze proberen steeds meer info van je te verkrijgen. Ik gebruik google chrome op mijn android telefoon, pc, en laptop, dus ze weten genoeg van me. Is niet anders, zo denk ik maar, ze moeten geld verdienen, met alle gratis programma's die ze je bieden. Maak er dankbaar gebruik van, dus neem dit maar op de koop toe.
calvinturbo @Ruw ER29 april 2015 16:38
Als je sync aanhebt zullen ze inderdaad weten welke websites jij bezoekt etc.. Als je dat uitzet, is dat niet het geval. Gegevens van Analytics en Doubleclick mogen namelijk niet aan jouw persoonlijke profiel (naam) worden gekoppeld, volgens hun voorwaarden.
Verwijderd @Verwijderd30 april 2015 01:31
Welke sites jij bezoekt, weet Google al. D.m.v. cookies/beacons/weet ik het.

En die extensie is alleen actief bij Google domeinen, dus je gebruikersnaam weten ze ook al.
calvinturbo @Verwijderd29 april 2015 16:41
Je hebt gelukkig niet gelijk:
Volgens Google verzendt de add-on geen gegevens tenzij hij wordt gebruikt in combinatie met Google For Work. In dat geval kan de beheerder ook meldingen ontvangen.
RielN @Verwijderd30 april 2015 08:46
Ga je nu serieus beweren dat Google mijn wachtwoord WIL weten?

Dan heb je echt geen idee hoeveel werk Google steekt in de beveiliging van de producten, en is je bewering niet veel meer dan FUD.

Dit is een dienst, een service, om hun product nog veiliger te maken. Het is al praktisch het veiligste cloudproduct (en, 'arguable', de veiligste identityprovider, zefls als je het lokaal wil doen).

Dit staat volledig los van profilering. Profilering is belangrijk om de compititie voor te blijven, om relevantere en betere advertenties te tonen en daarmee de cashflow te vergroten of te behouden. Dé voorwaarde voor een onderneming. Gelukkig doen ze dat met een hoog gevoel voor privacy.

[Reactie gewijzigd door RielN op 27 juli 2024 04:40]

johnkeates 29 april 2015 16:27
Gaat leuk worden voor mensen die hun wachtwoorden recyclen. Zou er ook een whitelist in zitten?
RielN @johnkeates30 april 2015 08:49
Die mensen verdienen dit.
Jaahp 29 april 2015 16:29
Ik denk eigenlijk dat, omdat het een optionele extentie is, je het grootste deel van de doelgroep zo misloopt. Als je zo op je hoede bent dat je een extentie tegen phishing installeert zal phishing je ook niet zo snel overkomen.
calvinturbo @Jaahp29 april 2015 16:39
Daar heb je gelijk in, maar Google Chrome moet ook niet te bloated worden uiteraard..
SinergyX 29 april 2015 16:47
Titel zou impliceren dat het in z'n geheel tegen phising zou gaan:
Voorlopig werkt de add-on alleen met wachtwoorden voor Google-accounts.
Maar dus geen andere bekende logins zoals facebook, twitter of soortgelijke.

Ben benieuwd of er mensen nauwlettend gaan kijken wat deze extensie precies doet, het is niet de eerste keer dat Google iets 'per ongeluk' doet.

[Reactie gewijzigd door SinergyX op 27 juli 2024 04:40]

Buzz134 30 april 2015 13:36
''kan de uitbreiding waarschuwen wanneer het wachtwoord wordt ingetypt op een niet-Google-site''
''De uitbreiding vergelijkt ingevoerde tekst met een hash van het Google-wachtwoord''

bedoelen ze hier, dat je bijvoorbeeld inlogd met je google account, het wachtwoord opslaat en dan gaat google kijken of de wachtwoorden overheen komen ?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq