Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Google gaat Chrome-wachtwoorden exporteren eenvoudiger maken

Google gaat het eenvoudiger maken om wachtwoorden die in de Chrome-browser zijn opgeslagen te exporteren. Dat moet bijvoorbeeld de overstap naar een wachtwoordmanager vergemakkelijken.

In een aankondiging schrijft 'Chromium-evangelist' François Beaufort dat de functie binnenkort beschikbaar moet komen, zonder een precieze releasedatum te noemen. Hij meldt dat de functie het mogelijk maakt om de wachtwoorden te exporteren naar een csv-bestand, dat vervolgens gebruikt kan worden om de wachtwoorden met een wachtwoordmanager te importeren.

Mensen die de exportfunctie nu al willen gebruiken, kunnen overschakelen naar de devchannel van Chrome en zoeken naar de term 'passwords' in de instellingen, aldus Beaufort. Het is momenteel al mogelijk om wachtwoorden in Chrome te beheren en te bekijken, maar er is geen directe exportmogelijkheid. Voor mensen met veel wachtwoorden betekent dit dat een eventuele migratie veel tijd kost.

Los van de methode die Beaufort beschrijft, is het mogelijk om in de stabiele Chrome-browser wachtwoorden te exporteren door deze functie in de Chrome-flags in te schakelen. Daardoor komt de functie na een herstart van de browser beschikbaar en kan er een csv-export uitgevoerd worden na het invullen van het wachtwoord van het OS-gebruikersaccount.

Door

Nieuwsredacteur

60 Linkedin Google+

Reacties (60)

Wijzig sortering
Maakt dit het niet veel te makkelijk om 2min achter iemand's computer te gaan zitten en alles te exporteren naar je USB en hops klaar ben je? CSV kan iedereen zo openen zonder wachtwoord, encryptie of iets..
Ik gok dat ze hier wel iets voor zetten zoals: voer eerst je windows wachtwoord in. Dat doen ze nu ook als je via wachtwoordbeheer een wachtwoord wil bekijken (niet dat dat heel veel helpt, je kan 'm nogsteeds doodsimpel uit het invoerveld op de pagina waar die wordt ingevuld trekken, maar tegen zo'n download all zal het wel nuttig zijn)
edit:
interpunctie

[Reactie gewijzigd door Gelunox op 8 maart 2018 14:31]

Wellicht bouwen ze een 2 stappen verificatie in. Dat je op je mail een code krijgt die je moet invullen voordat de download start
Moet je dat wel hebben aanstaan ;-) Ik hoop op z'n minst dat er een verificatie op zit met je Google account. Want anders lijkt het me wel heel makkelijk als lek te dienen, maar dat kan aan mij liggen...
Misschien moet je wel eerst dit activeren voordat je kunt gaan exporteren.
Je zegt dat je t uit een wachtwoord veld kan trekken. Hoe werkt dat dan? Je kan nl niet direct uit een wachtwoord veld kopiëren.
rechtermuis op het veld -> inspect element -> type="password" veranderen in type="text"

of stukje javascript dat van alle <input type="password"> tags de value console logt, dat valt vrij simpel in elkaar te vogelen.
Goed punt, thanks!
Bij mij werkt dat helemaal niet. Net nog geprobeerd.
Rechtermuis op het veld -> inspect element -> open console tab -> type: $0.value
Nog steeds niet, en heb meerdere manieren geprobeerd. Zelfs combinaties. In alle gevallen krijg ik zoiets als alleen maar spaties (dus het aantal karakters omgezet in spaties). Dat kopiëren en plakken geeft ook niets.
Kan mogelijk zijn dat je op een site bent die tegen malicious extensies probeert te beschermen door de content van de input box te herschrijven. Redelijk nutteloos, maar het kan werken tegen de domste der aanvallen (een extensie die enkel het bovenstaande doet). In ieder geval, hier op tweakers werkt het gewoon :) .
@Grebbenberg Waarom helpt dat niet? Je moet eerst je Windows-wachtwoord invoeren alvorens je inzage hebt in het wachtwoord, wat hier te vinden is: chrome://settings/passwords en overigens ook hier: http://passwords.google.com

[Reactie gewijzigd door AnonymousWP op 8 maart 2018 15:33]

Waarom helpt dat niet?
Dat zegt Gelonux toch? Het helpt niet omdat je er toch wel bij kan als je naar de betreffende pagina gaat waarvoor het wachtwoord is en je Chrome 'm automatisch laat invullen. En dan is het appeltje eitje om 'm ook daadwerkelijk uit te lezen.

[Reactie gewijzigd door .oisyn op 8 maart 2018 17:32]

Dat zegt Gelonux niet. Hij heeft het over tweetrapsauthenticatie via mail, in plaats van dat je je Windows-wachtwoord moet opgeven.
Dat is precies wat hij zegt. Ik denk dat jij hem gewoon verkeerd interpreeert.

.edit: oh, ik zie nu dat je reageert op de post van Gelunox, maar in de tekst begin je met het taggen van Grebbenberg. Over welke post heb je het nu precies?

.edit2: deze dus. Ok, daar had ik het dan weer niet over ;)

[Reactie gewijzigd door .oisyn op 8 maart 2018 17:34]

Ooh, dat is een andere reactie :p. Die had ik nog niet gezien.
Het zou goed zijn als ze er iets voor zouden zetten, maar ik vrees voor het ergste.
dat kan bij veel browsers, heb je hele mooie tooltjes voor.
Maar nu wordt die tool ingebouwd, dat werkt drempelverlagend voor gebruikers, maar ook voor mensen met slechtere bedoelingen.
Klopt, dat is ook het nieuwsbericht. ik geef alleen aan dat het al langer kon maar dan met 3rd party tools dus er veranderd voor de rest weinig op het vlak van beveiliging.
moet je voor het weergeven van je wachtwoorden niet eerst je wachtwoord opgeven?

wat @Gelunox zegt

[Reactie gewijzigd door leezo op 8 maart 2018 14:27]

Op Chrome 65.0.3325.31 wordt er bij mij niet om gevraagd? Wellicht dat dit een instelling is ergens bij het Google Account?
Tja, als je eenmaal toegang hebt tot een systeem dan is vaak het kwaad al geschied. Maar een extra controle hier zal inderdaad wel logisch zijn.
In Windows10 vraagt het om het windows password...
Er zijn nu ook al mogelijkheden voor. Er zijn scriptjes die je via de javascript console kan draaien op de wachtwoord pagina van google die een csv-ish in de console output genereert.
Als je om je veiligheid geeft laat je je pc toch niet onbeheerd achter maar lock je de boel voordat je even wegloopt. En ja, ik doe dat altijd.
In Windows 10 wordt gevraagd om je Windows password/vingerafdruk om het te bevestigen, daarmee sluit je het eigenlijk al uit.
Als dat je doel is, zet je toch gewoon een tooltje klaar op de USB key die dat voor jou doet? Zo bestaan er al een hele boel.
Op Android moet je eerst uw patroon ingeven voor je kan exporteren. Ik heb de functie aangezet in Chrome beta via de Chrome-flags en dan ga je naar instellingen --> wachtwoorden opslaan en druk je rechtsboven op de 3 puntjes maar als ik dan mijn patroon ingeef en wachtwoorden exporteren klik gebeurt er niks ik krijg ook geen pop-up melding ofzo.
Apart, want een programma als Dashlane of lastpass, kan het wel voor je importeren, dan kunnen we er zelf ook wel bij, kzal eens kijken hoe dat importeren gaat.
Waarschijnlijk worden de passwords gewoon in een sqlite archive oid opgeslagen. Niet heel moeilijk om dat te rippen, maar wel wat minder toegankelijk.

Een snelle google-actie leert dat Chrome je windows password gebruikt om je passwords te encrypten. Dat is gelijk een goeie reden om de ingebouwde password manager niet te gebruiken. Als een ander programma dmv social engineering voor elkaar krijgt dat je je windows-password invoert, kunnen ze potentieel bij al je wachtwoorden. Je wachtwoorden horen in een archief met (liest een keyfile én) sterk, lang wachtwoord dat je ECHT nergens anders voor gebruikt.
Ja de ww-managers leggen het vaak ook maar minimaal uit dat als je een ww-manager gebruikt zoals dashlane, je dan de passwords.google uit moet schakelen. Sommige ww-managers gebruiken de chrome passwords.google wel.
Ik doe het liever zelf en dan met 1 die een eigen kluis op me eigen pc zet,(of usb) liever niks in een cloud. maar opzich is het via de cloud ook wel velig tegenwoordig.

Editje:
Maar over 5 jaar zijn we van het ww gebeuren af, als ik goed opgelet heb ;)

[Reactie gewijzigd door Mel33 op 8 maart 2018 18:27]

De utilities van NirSoft (om wachtwoorden te backupen) kunnen dit ook simpelweg zonder een main (windows) pass te gebruiken.
Hoe zit het op de Mac? Want daar gebruikt Chrome toch gewoon KeyChain als bron?
Nee daar gebruikt Chrome haar eigen store en vult KeyChain de rest aan.
Maar dat houdt dus in dat Chrome de wachtwoorden in plain text ergens bewaart, niet als hashes... Anders kun je ze niet exporteren... Scary!
Hoe kan Chrome jou wachtwoord invoeren op een site, als zei alleen de hash hebben? De wachtwoorden moeten altijd opgeslagen worden.

Dashlane en Lastpass gooien hier een encryptie laag overheen voor de veiligheid. Maar het blijven de wachtwoorden die opgeslagen worden en niet hashes hiervan. Daar heb je namelijk niks aan als jou opgeslagen site jou wachtwoord wilt en niet de hash van jou wachtwoord.

[Reactie gewijzigd door jvdheuve op 8 maart 2018 14:40]

Dat is toch geen nieuws? Websites hebben het originele wachtwoord nodig, niet een hash.
En hoe wil je anders een wachtwoord invullen op een website? Hashen heeft geen nut, verlies je het wachtwoord wat je invult juist weer mee ;)

[Reactie gewijzigd door ytterx op 8 maart 2018 14:40]

Ja... Hoe tik je anders een wachtwoord in? 8)7 In the end staat het altijd ergens "plaintext" he... De wachtwoordmanager van Google is beveiligd met je Windows wachtwoord, die van Keepass met een master password, maar daarachter zitten ze beide in cleartext hoor...

EDIT 14h41: cleartext maar wel geëncrypteerd natuurlijk...

[Reactie gewijzigd door HyperBart op 8 maart 2018 14:41]

Ja er zijn al jaren tooltjes die dit opgraven voor je

Erg leuk op werk als mensen maar niet willen geloven dat het dom is je wachtwoord op te slaan.

Ik draaide dat tooltje op een receptie pc en er schoten wat dames in de stress toen ik riep dat ik die wachtwoorden eens op de facebook accounts ging testen.

Sindsdien slaan ze het wachtwoord niet meer op

Het is nogal confronterend als je een lijst met opgeslagen wachtwoorden toont
Chrome had deze optie vroeger ook al:
https://lifehacker.com/ch...s-heres-how-to-1790816137

Maar deze optie werd weggehaald bij omvormen van de optiepagina naar material design. Wel fijn dat ze deze functionaliteit terug ingebouwd hebben en je niet meer de oude optiepagina moet zien te activeren hiervoor. :)
Firefox is sneller en heeft deze functie ook.
Je doet het overkomen alsof jouw ervaring een feit is voor iedereen. Bij mij is Firefox juist een stuk trager dan Chrome. Chrome is echt heel erg snel bij mij namelijk.
Ik denk dat de poster voor jou op de recente Firefox builds doelt.
chrome://settings/passwords laat mij zien:

Access your passwords from any device at: passwords.google.com

Daar wordt ik erg blij van. Dus als je automatisch inlogt bij google (en dus waarschijnlijk ook bij passwords), dan wordt nergens meer om gevraagd (klik op het oogje en voila). Vraag is waar we deze ongevraagd Google dienst weer uit kunnen zetten.

Feature lijkt overigens erg op de Credentials Manager in het control panel, vingerafdruk/Window wachtwoord en je ziet het password.
en dus waarschijnlijk ook bij passwords
Als je die URL zelf ook even gevolgd had, had je gezien dat je jezelf toch echt even nog een keer in moet loggen.

Zie: https://tweakers.net/ext/f/vVaY18WlASqLF4q7q5EIQLEQ/full.png

[Reactie gewijzigd door crizyz op 8 maart 2018 16:16]

Ik heb die pagina bekeken en moet een wachtwoord ingeven (in chrome is default gelukkig niks ingevuld). Nu maar hopen dat andere browsers deze inlog pagina gelijk afhandelen.

Maar het blijft de holy grail voor hackers, usernames/passwords die te decrypten zijn naar plain text.
Leuk hoor ...

Maar kunnen ze niet eerst het probleem oplossen dat de Chrome browser na een paar dagen er ongeveer 30 seconden over doet om te starten (en dat blijft zo, totdat ik mijn machine opnieuw inricht) ???

Heb een 8-core, 32Gb RAM machine, maar dit is wel een beetje jammer ...
En nee, aan het aantal extensie's ligt het bij mij niet ...
De portableapp versie laad hetzelfde aantal met dezelfde settings etc... en start in ongeveer 2 seconden ... en óók dat blijft zo ...

Beide varianten draaien op 1 en dezelfde SSD ...

Nergens een oplossing voor kunnen vinden ... dus zodoende draai ik nu met de portable versie.

[Reactie gewijzigd door TheToolGuy op 8 maart 2018 14:39]

Hier toch echt binnen 1 a 2 seconden
Vergelijkbare configuratie
Ik heb het gevonden ...

Ik draai een 64-bit windows 10. Dus installeer ik ook 64-bit Chrome ... en dat is het euvel ...

De portable versie die ik draai is 32-bit (= bloedsnel) ... de geïnstalleerde versie 64-bit (= traag in mijn geval).

Heb nu de 32-bit versie van Chrome weten te installeren, problem solved ! :-)
Hier ook 64 bits versie en win 10 dus moet toch iets anders zijn
Als Google dat nou ook even voor zijn Authenticator doet, vind ik dat wel fijn voor als ik van cp wil wisselen. ( Ik weet dat er andere app's zijn, maarja, als je GA al lekker vol staat met codes....).

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ LG W7 Samsung Galaxy S9 Dual Sim OnePlus 6 Battlefield V Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*