Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie
×

Help Tweakers weer winnen!

Tweakers is dit jaar weer genomineerd voor beste prijsvergelijker en beste community. Laten we ervoor zorgen dat heel Nederland weet dat Tweakers de beste website is. Stem op Tweakers!

Mozilla en Have I Been Pwned werken samen bij tool voor uitgelekte logins

Mozilla heeft aangekondigd binnenkort een functie te willen testen die is ontwikkeld in samenwerking met beveiligingsonderzoeker Troy Hunt, de beheerder van Have I Been Pwned. Daarmee moeten Firefox-gebruikers een waarschuwing kunnen krijgen bij uitgelekte logins.

Mozilla legt uit dat de functie de naam Firefox Monitor heeft. Uit de omschrijving is alleen op te maken dat het om een site gaat waar gebruikers van de browser hun e-mailadres kunnen invullen om via Hibp te controleren of het voorkomt in bekende uitgelekte databases. Vervolgens kunnen ze ook instellen dat ze een waarschuwing krijgen als het e-mailadres voorkomt in een nieuwe uitgelekte database. Die functionaliteit lijkt sterk op wat Hunt nu al via Hibp zelf aanbiedt. Het zoeken op e-mailadres moet volgens Mozilla op een privacyvriendelijke manier plaatsvinden. De organisatie start volgende week een test onder een kwart miljoen gebruikers, voornamelijk Amerikanen.

Wachtwoordmanager 1Password maakt bovendien bekend dat gebruikers nu ook op e-mailadres kunnen zoeken of hun logins zijn uitgelekt, nadat het al controleerde of het wachtwoord dat mensen gebruikten voorkwam in de database van Hibp. AgileBits, de ontwikkelaar van 1Password, schrijft dat gebruikers in de zogenaamde Watchtower-functie een uitgebreid rapport kunnen bekijken dat weergeeft op welke punten het nodig is actie te ondernemen. Bovendien toont de functie aanvullende informatie over het specifieke datalek waarbij gegevens zijn vrijgekomen.

Have I Been Pwned is een site waar mensen op basis van hun e-mailadres of wachtwoord kunnen controleren of dit is uitgelekt, bijvoorbeeld door een hack op een onlinedienst. Het is mogelijk om een notificatie in te stellen op een e-mailadres.

Door Sander van Voorst

Nieuwsredacteur

26-06-2018 • 07:37

40 Linkedin Google+

Reacties (40)

Wijzig sortering
Wordt ook tijd dat Firefox zijn eigen wachtwoord manager voorziet van fatsoenlijke versleuteling, of gewoon de door het OS aangeboden credential store gebruikt. Voor zover ik weet is het nu nog steeds zo dat ze wachtwoorden met zwakke versleuteling opslaan en de (private) key in plaintext opslaan in de dezelfde folder.
Volgens mij is het in FF beter geregeld dan in Chrome.
Daar kan je alle wachtwoorden inzien, met het windows wachtwoord van de gebruiker.

Vooral op gedeelde pc's met meerder Chromegebruikers, heb je als hoofdgebruiker overal toegang toe.

* FreshMaker roept tegen collega's dagelijks om niet alles op te laten slaan ...

Maar tevergeefs :(
Hoe werkt dat? Hoe kan je alle wachtwoorden zien die in Chrome opgeslagen worden? Ik dacht dat dit alleen kon via http://passwords.google.com/
okee dan...dus het wordt tijd voor een aparte password manager...

Deze tool kan ik niet testen, heb geen Windows..
okee dan...dus het wordt tijd voor een aparte password manager...
Waarom? Wat is precies het probleem?
Weet ik nog niet precies...op dit moment weet ik dus wel dat ik niet zomaar op een willekeurige PC met m'n Chrome moet inloggen...
Je moet met een willekeurige PC nergens "zomaar op inloggen". Als ze een keylogger of sniffer gebruiken dan hebben ze ook je wachtwoord. Dat was altijd al zo. Root pwned de users. En de eigenaar van de hardware pwned root. (Ook een reden waarom het van de belang is dat je de host vertrouwd bij een VPS of dedicated server. Zelfs als jij de eigenaar van de hardware bent, is die nog te hacken wanneer men fysieke toegang heeft of de firmware backdoors bevat. Maar dat is al wel iets lastiger dan VPS/dedicated server.)
Woow... wat is is een beter alternatief?
Edit: verstuurd voordat ik klaar was.

Maar dit betekend toch dat iemand lokaal iets moet installeren? Zolang ik dat voorkom is de chrome "save" toch?

[Reactie gewijzigd door CollisionNL op 26 juni 2018 09:43]

Nee, als je jouw passwords in Chrome hebt staan, kan iedere gebruiker op die PC daarbij.
Je bent alleen 'veilig' als je Chrome elke keer uitlogt
Chrome - instellingen - wachtwoorden
Daar vind je lokaal alle opgeslagen inlogs, klik je op het "oogje" mag je je windows WW invoeren, en komen alle WW tevoorschijn die je gesyncd hebt
OMG! Dat werkt ook onder OSX MacOS inderdaad! :o

Dus als ik ergens op een andere PC met Chrome inlog, dan kan die eigenaar van die PC al m'n wachtwoorden inzien als ik niet uitlog? :o

[Reactie gewijzigd door Boy op 26 juni 2018 09:05]

Dat bedoel ik, FF vraagt om het 'eigen' sync wachtwoord.
Dus kan je wel ingelogd staan met de sync ( dan is de toegang tot de site's ook aanwezig ) maar hij kan ze niet dupliceren.

Onder chrome kan je zelfs met een externe tool ( keepass ) alles uit chrome inlezen, en in de database importeren
( als eigenaar ideaal ... je ww manager is gelijk netjes gevuld )
Goed om te weten dat ik nooit m'n Chrome ingelogd moet laten op andere apparaten!
Dit vind ik best wel een security lek op deze manier. Niemand moet toch wachtwoorden van iemand anders kunnen uitlezen, ookal zit je op een ander systeem...damn...
Voor zover ik weet is het synchroniseren van de wachtwoorden beveiligd met een wachtwoord. Je kan inloggen op een chrome browser zonder dit wachtwoord op te geven en zullen je wachtwoorden dus niet gesynchroniseerd worden.
Kan het ook andersom? Keepass gebruiken om op Chrome in te loggen?
Volgens mij niet, maar dat zou de veiligheid ondermijnen imho
Je kan de auto-fill gebruiken, selecteer het eerste invoerveld ( naam ) en Keepass kan vanuit het scherm met ctrl-V de data oversturen.

Je moet nog wel zelf de handeling opstarten
Oke! 1 extra handeling voor veiligheid is de moeite waard. Is Keepass de beste oplossing? Ik ga er gelijk vanavond mee aan de slag.
Alleen als je er voor kiest dat de browser je wachtwoord doet opslaan. Klik je op nee als chrome dat vraagt, dan zal er ook niets opgeslagen worden.
Nee, dat snap ik. Maar ik gebruik Chrome als m'n password manager. ik verwachtte dat alles veilig achter m'n hoofdwachtwoord zat...
Welk hoofdwachtwoord? Chrome vraagt toch nooit een master password om jouw wachtwoord te encrypten?

Ze kunnen niet anders dan dit zo doen.
Ik bedoel m'n GMail password. Die moet ik wel invullen via http://passwords.google.com/ en dat vond ik voldoende (heb daar ook 2FA op)
Dus als ik ergens op een andere PC met Chrome inlog
Als jij op een andere PC inlogt dan kan de eigenaar van die hardware jou op allerlei manieren aanvallen. Een keylogger, een sniffer, enz enz. Degene die eigenaar is van de hardware, is ook root.

Wat je kunt doen is niet inloggen op je Chrome account, maar een password manager op je telefoon gebruiken. Vervolgens als je inlogt op Tweakers.net kopieer je dat wachtwoord (leuk, die van mij is 32 characters). Dan is hoogstens je T.net password gecompromitteerd maar dat is het dan ook.
Voor zover ik weet is het nu nog steeds zo dat ze wachtwoorden met zwakke versleuteling opslaan en de (private) key in plaintext opslaan in de dezelfde folder.
AES-256-CBC is geen zwakke versleuteling. Met een Master Password is al het sleutelmateriaal versleuteld en beveiligd tegen offline aanvallen.
Mijn punt is juist dat er default geen master password vereist is. En als je dat al instelt, is het wachtwoord zelf matig beveiligd en wordt in dezelfde folder als de wachtwoorden opgeslagen.

[Reactie gewijzigd door Opperpanter2 op 26 juni 2018 11:54]

De encryptiesleutel voor de container met je wachtwoorden wordt zelf versleuteld met het wachtwoord dat je aanlevert. Het Master Password wordt niet opgeslagen.

[Reactie gewijzigd door The Zep Man op 27 juni 2018 07:38]

Die encryptiesleutel wordt matig beveiligd, zoals hieronder al aangegeven in https://nakedsecurity.sop...ssword-is-still-insecure/
Je kan dus een master password gebruiken in Firefox om je wachtwoorden lokaal mee te encrypteren, maar deze wordt met een enkele sha1 interatie (met salt) gehashed.Dit is voor web applicaties al onveilig, laat staan voor een volledige password vault.

https://nakedsecurity.sop...ssword-is-still-insecure/
Krijg je dan elke keer een melding als je dat e-mailadres gebruik? Mijne staat er in, niets aan te doen, maar daar hoef ik niet elke keer een melding van te krijgen.
Wat ik er van begreep, is alleen als je een mailadres in combinatie met een 'veelgebruikt' wachtwoord pakt.

Dus janjansen@mail.com + 12345 zal een red flag geven
Klinkt niet echt veilig als je het mij vraagt. Dit betekend dat het wachtwoord eerst naar Firefox word verstuurd en dan naar Hibp om te controleren of het wachtwoord ergens in voor komt.
Nee dan weet je dus zeker dat je wachtwoord gelekt is. Dat was ook mijn eerste gedachte hierbij :?
Je wachtwoord wordt gehasht, waarna slechts de eerste 5 karakters verstuurd worden. De server antwoordt met alle suffixes, waarna de cliŽnt kijkt of een van de suffixes overeenkomt met de hashwaarde van je wachtwoord. Zelfs de hashwaarde wordt dus niet volledig verzonden.

https://haveibeenpwned.co...hingPwnedPasswordsByRange
Het mooie is (als je dit zelf zou willen gebruiken op een site die je hebt gemaakt) dat je niet hun server hoeft te gebruiken, maar tegen een local backup van de lijst kan gebruiken.
Het is perfect mogelijk om het ingevoerde wachtwoord lokaal te hashen, en de eerste x tekens van de hash op te sturen ter verificatie. Zelfs met een 8-tal karakters (van de 32 ofzo) van een bcrypt-hash is min of meer uniek en dus genoeg om deze red flag te kunnen triggeren. (Of het zo geimplementeerd is/wordt is een andere kwestie natuurlijk)
Het effectieve wachtwoord raakt zo de servers van Mozilla of Troy Hunt niet aan.
Het is zeker onhandig als je het wachtwoord al lang aangepast hebt. Dan is de melding dat het mailadres in tijdens een hack verspreid is niet meer van toepassing.
Zie mijn reactie ;) Is dus niet permanent.
Je kan bij Hibp je mailadres uit het bestand verwijderen, krijg je de melding niet meer. Zo heb ik dat gedaan met een aantal mailadressen van mij welke daarin staan. Weet niet meer hoe het proces verloopt, maar als je op Hibp zelf kijkt wijst het voor zich.
Goeie samenwerking. Maar ik denk wel dat er momenteel genoeg mogelijkheden zijn. Ik ga niet op tig websites controleren of mijn email adres ergens in een database zit.
Ik denk dat er heel veel gebruikers zijn die nog nooit gehoord hebben van HIBP. En door die nu automatisch te vertellen dat hun account ergens gekraakt is, maakt dit het net weer iets veiliger.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True