Google waarschuwt met Chrome-extensie voor uitgelekte wachtwoorden

Google heeft de Chrome-extensie Password Checkup uitgebracht. Die extensie waarschuwt gebruikers als zij ergens inloggen met gegevens die eerder zijn buitgemaakt bij een hack of zijn uitgelekt. Google zegt een database met vier miljard credentials te hebben.

De database die Google gebruikt om inloggegevens te controleren met de Password Checkup-extensie, bevat niet de daadwerkelijke gegevens, maar hashes en een kopie die is voorzien van encryptie. Door de hashes te vergelijken kan de extensie zien of de gegevens die gebruikers bij het inloggen invullen, onderdeel zijn van een datalek.

Google heeft de extensie ontwikkeld in samenwerking met cryptografie-experts van Stanford University. Volgens de zoekgigant hebben zij ervoor gezorgd dat Google nooit zelf de gebruikersnamen en wachtwoorden van de desbetreffende accounts kan inzien en dat de data niet verder kan uitlekken.

Google maakt ook bekend dat het in de afgelopen twee jaar wachtwoorden van 110 miljoen gebruikers uit voorzorg heeft gereset. Het gaat daarbij om wachtwoorden die in combinatie met het e-mailadres van de gebruikers werden aangetroffen in verzamelingen van accounts.

Dergelijke verzamelingen met miljarden accounts staan openbaar online. Eind januari verscheen een verzameling met 2,2 miljard accounts, nadat eerder die maand een verzameling met 773 miljoen e-mailadressen en 21 miljoen wachtwoorden online verscheen. De verzamelingen bestaan veelal uit combinaties van gegevens die bij eerdere hacks in de afgelopen jaren zijn buitgemaakt.

Reacties (66)

jeroen7s 5 februari 2019 18:13

er is al lang zo'n extensie die gebruik maakt van HaveIBeenPwned
die is open source https://www.passprotect.io/
zou ik veel liever gebruiken dan deze google extensie

[Reactie gewijzigd door jeroen7s op 23 juli 2024 00:13]

oef! @jeroen7s • 5 februari 2019 19:01

Dat is een kwestie van sentiment. Als je Google kwade wil toeschrijft dan zou je ook geen Chrome moeten gebruiken aangezien je daarin je wachtwoorden intypt en Google aanbiedt om je wachtwoorden op te slaan.

Verwijderd @jeroen7s • 5 februari 2019 18:44

Nu kende ik die site niet en het lijkt allemaal best wel leuk. Maar waarom heb je zoveel vertrouwen in die site? Ken je de makers? Verder dan twee twitter links en een legal sectie die erg kaal is kom ik niet. Ik heb standaard een probleem als mensen die iets delen hun eigen naam niet willen noemen. En potentieel is dit een problematische plugin omdat ie lokaal in je browser loopt (dus je accepteert wat ie dan ook doet) en dus mee kijkt als je ergens inlogt.

Ik denk dat je standaard UITERMATE bezorgt moet zijn over een plugin die je browse gedrag kan zien en toegang heeft tot een miljard gehackte passwords.

the_stickie @Verwijderd • 5 februari 2019 19:01

Gelukkig is er met een beetje meer zoeken vast te stellen dat passprotect gemaakt is door Okta en ook te vinden is in de Chrome webstore, waar meer info te vinden is.
't is overigens volledig opensource.

Dat neemt niet weg dat je argument valide is: je moet voorzichtig zijn als je software van derden gebruikt.

jeroen7s @Verwijderd • 5 februari 2019 19:11

1. deze extensie werd genoemd in de officiele Troy Hunt / HaveIbeenPwned blog, welke ik als betrouwbaar beschouw
2. de extensie is open source (de grote "for developers" link rechtsboven brengt je naar github)
3. de extensie zijn source code is compact, gedocumenteerd en makkelijk na te lezen: https://github.com/OktaSe.../blob/master/src/index.js

[Reactie gewijzigd door jeroen7s op 23 juli 2024 00:13]

d4v1d @jeroen7s • 5 februari 2019 19:52

2&3:

Hoe weet ik of de extensie in de Chrome Webstore ook dezelfde source heeft als op Github? Niet iedereen kan, of wil, zelf zijn extensies compilen.

jeroen7s @d4v1d • 5 februari 2019 20:17

je kan ook gewoon de source code als zip downloaden op github en die in chrome laden in chrome://extensions, dan ben je zeker dat de source code hetzelfde is als op github
je hoeft een extensie niet te "compilen"

ook kan je de (vaak minified) javascript bekijken in de AppData folder van chrome voor extenties die van de chrome store komen

daarbuiten geld dit voor elke extensie/programma op deze planeet die je niet zelf compileert/nakijkt, je kan dit argument net zo goed gebruiken voor de chrome browser

[Reactie gewijzigd door jeroen7s op 23 juli 2024 00:13]

Creesch @jeroen7s • 5 februari 2019 20:46

je hoeft een extensie niet te "compilen"

Dat is met moderne frameworks, transpilers en bundlers lang niet altijd meer het geval. Bij veel projecten is het tegenwoordig wel nodig om de boel te bouwen zodat je bruikbare code krijgt. In veel gevallen is het dan ook nodig om nodejs te installeren, node modules en dan het build commando te geven.

Bovenstaande extensie lijkt daar geen uitzondering op te zien gezien de aanwezigheid van package.json en webpack configuratie bestand.

Verder heb je gewoon gelijk en is het behoorlijk paranoïde om niet de extensie uit de store te willen gebruiken.

[Reactie gewijzigd door Creesch op 23 juli 2024 00:13]

mkools24 @jeroen7s • 5 februari 2019 19:00

Ja maar Google is evil en verkoopt je data dus gebruikt iedereen 'Product X' en wat dat dan is dat maakt blijkbaar net meer uit, zolang het maar niet van Google komt.

Ik heb het ook niet op advertenties, maar een extensie als deze heb ik liever van Google dan van één of andere schimmige website, zeker als het om je passwords gaat vertrouw ik Google toch meer.

En dat iets open source is wil niet zeggen dat het per definitie ook 100% veilig en betrouwbaar is!

[Reactie gewijzigd door mkools24 op 23 juli 2024 00:13]

jeroen7s @mkools24 • 5 februari 2019 19:18

zeker als het om je passwords gaat vertrouw ik Google toch meer.

persoonlijk vertrouw ik HaveIBeenPwned meer als google, Troy Hunt heeft een goede reputatie in de security wereld, en omdat ik ongeveer weet hoe de Pwned Passwords API werkt (k-anonimity etc...)

En dat iets open source is wil niet zeggen dat het per definitie ook 100% veilig en betrouwbaar is!

hier ben ik het zeker mee eens, echter is de source code van deze extensie zo compact dat ik deze zelf even heb nagelezen, zowat alle code zit in deze file (inclusief comments met uitleg): https://github.com/OktaSe.../blob/master/src/index.js

[Reactie gewijzigd door jeroen7s op 23 juli 2024 00:13]

Koen90 5 februari 2019 17:58

Vervult deze gratis extensie dezelfde rol als de checks van 1Password en de HaveIBeenPwned wachtwoorden check (die geintegreerd is bij 1Password)? Zo ja, dan kan je met een gratis dienst zoals LastPass in combinatie met deze extensie hetzelfde niveua van veiligheid hebben volgens mij.

SED @Koen90 • 5 februari 2019 19:19

Lastpass heeft ook een check op gelekte wachtwoorden. Weet niet of die alleen voor de betaalde versie is.

Koen90 @SED • 5 februari 2019 19:20

Die checkt alleen of die site betrokken is geweest bij een lek sinds je je wachtwoord hebt ingevuld. Althans, dat heb ik zo vernomen.
Edit: Volgens mij klopt mijn verwoording van mijn gedachten hier niet precies, maar het is duidelijk dat we proberen te achterhalen hoe een check werkt en hoe die verschilt met alternatieven.

[Reactie gewijzigd door Koen90 op 23 juli 2024 00:13]

SED @Koen90 • 5 februari 2019 19:23

Nee hoor. De security challenge doorloopt al je passwords en legt ze tegen de databases bij Latspass:

==========De volgende e-mailadressen zijn gekoppeld aan sites in uw LastPass kluis. De volgende stap van de test is een optionele controle van deze e-mailadressen op bekende beveiligingsinbreuken.==========

=========Als er inbreuken op de beveiliging worden gevonden, worden details direct via e-mail verstuurd naar de getroffen e-mailadressen. Deselecteer e-mailadressen die u niet wilt testen, of klik Annuleren om de test helemaal over te slaan.===========

=======Site Controle Resultatenx
Een of meer e-mailadressen die we voor u controleerden is gekoppeld aan een website die betrokken kan zijn geweest bij een inbreuk op de beveiliging.

Don't worry; we have emailed you all the details, and you can use LastPass to help you to create new secure passwords for any affected site.=========

Koen90 @SED • 5 februari 2019 20:04

Op deze pagina wordt er ook over gediscussieerd: https://forums.lastpass.com/viewtopic.php?f=7&t=321495
Daar leggen mensen uit waarom zij de checkservice van LastPass minder functioneel vinden dan die van 1Password, maar ik vind het ingewikkeld en zal het in de gaten blijven houden.

SED @Koen90 • 5 februari 2019 20:24

Inderdaad wat wonderlijke discussie daar. Bij de security challenge ontvang ik een mail met daarin de volgende reactie. * betreft allemaal oude meuk dus geen probleem)
2019-01-28
collection #1
2016-07-31
exploit.in database compilation
2012-12-30
linkedin.com
2012-12-30
dropbox.com
2012-02-29
last.fm
2017-05-23
Unknown source (2017-05-23 0:49:10)
2017-10-21
Unknown source (2017-10-21 1:15:36)
2018-12-14
kickstarter.com
Dus lastpass toont de sites waar een door mij gebruikt password gelekt is.

albatross 5 februari 2019 17:51

Dit vind ik nou een erg nuttige extensie!

Heb em meteen geinstalleerd.

mikesmit @albatross • 5 februari 2019 18:00

Jammer dat het voor een browser is waar je dadelijk geen adblocker meer kunt gebruiken...

Johan9711 @mikesmit • 5 februari 2019 18:06

Je vergist je. Enkel de manier waarop sommige adblockers werken word onmogelijk door een aankomende aanpassing. Maar adblockers worden niet onmogelijk. Adblockers kunnen worden omgebouwd voor die aanpassing.

mikesmit @Johan9711 • 5 februari 2019 18:19

Nou... die vent van ublock origin zegt dat zijn adblocker niet gaat werken door de wijzigingen en laat dat nou de enige zijn die nou echt geen advertenties doorlaat (ook niet tegen betaling, ik kijk naar jou adblockplus!!!)

mkools24 @mikesmit • 5 februari 2019 19:04

Laten we eerst even afwachten voor we al op voorhand conclusies gaan trekken. De soep wordt vast niet zo heet gegeten. Toen Kodi niet meer werkte op Sony TV's sprak iedereen ook direct van evil, kwade opzet, koop geen Sony meer etc en nu weer dit.

Leuk dat de maker dat zegt en dan achteraf blijkt het met een beetje aanpassen van de code ineens toch te werken.

Martinspire @Johan9711 • 5 februari 2019 19:13

Mja die gaan straks weer buiten browsers omwerken om bv hosts-bestand aan te passen want voor zover ik kon zien was er geen andere mogelijkheid om bepaalde zaken te blokkeren. En net als met een pi-hole is het maken van uitzonderingen dan ook weer zo'n gedoe

CH4OS @Martinspire • 5 februari 2019 20:08

Het maken van een uitzondering in Pi-Hole is anders net zo gemakkelijk als een blokkade entry toevoegen aan de eigen hosts file, dus als je het een een gedoe vindt, is het andere dat net zo goed.

Martinspire @CH4OS • 5 februari 2019 20:37

Ja daarom zet ik ze even gelijk. Maar ook UBlock maakt dat irritant. Ik snap dat niet helemaal want dat maakt dat content providers het ook niet aan gaan raden.

Vexxon @Johan9711 • 5 februari 2019 20:41

Dus het advertentie bedrijf maakt het ablockers moeilijk, goh waarom zou dat zijn denk je

calvinturbo @mikesmit • 5 februari 2019 18:09

Kan wel degelijk, AdBlock Plus en vergelijkbare extensies blijven gewoon werken. Fake news dus

albatross @calvinturbo • 5 februari 2019 18:13

Maar de de facto standaard, uBlock Origin, die willen ze dus onmogelijk gaan maken (en dan vervangen met iets wat enkel Google ads doorlaat; waar ik ook niet op zit te wachten).

grasmanek94 @albatross • 5 februari 2019 18:58

Uhm Nano Adblocker met Nano Defender is de nieuwere/betere "uBlock Origin".

Loekino @grasmanek94 • 5 februari 2019 19:07

Waarom dan?

grasmanek94 @Loekino • 5 februari 2019 19:13

Werkt standaard / zonder aanpassingen of gedoe met Nano Defender (ofwel sites die adblockers detecteren, detecteren die niet meer), bij uBlock Origin is dat zover mij bekend is niet het geval (laatste keer dat ik het probeerde). Daarna is uBlock Origin wel met uBlock Origin Extra gekomen maar ik was al overgestapt. En Nano Adblocker is (een superset) gebaseerd op uBlock Origin.

[Reactie gewijzigd door grasmanek94 op 23 juli 2024 00:13]

Loekino @grasmanek94 • 6 februari 2019 11:42

Dankje! Ik ga eens proberen

calvinturbo @albatross • 5 februari 2019 18:14

AdBlock Plus laat acceptabele ads zien. Overigens kan je dat uitzetten..

mikesmit @calvinturbo • 5 februari 2019 18:21

Adblockplus is al meerdere keren door de mand gevallen door advertenties van grote bedrijven gewoon te tonen doordat ze er geld voor krijgen. Ublock origin was juist zo fijn doordat er nog niet van dit soort verhalen bekent waren

bazs2000 @mikesmit • 5 februari 2019 21:02

Door de mand gevallen of niet, ik gebruik het al jaren en moet zeggen dat ik er heel blij mee ben.
Die éne keer dat er eens reclame wordt getoond betreft reclame die niet irritant is en laat ik juist om die reden een adblocker hebben.

Adblockplus is nog steeds een hele goede blocker (mijn mening).

CR2032 @albatross • 5 februari 2019 18:40

Dan wacht je totdat uBlock Origin wel werkt op Chrome. Ze zouden gek zijn wanneer ze de grootste browser niet gaan ondersteunen.

Nog beter is natuurlijk een pi-hole gebruiken. Kost bijna niets.

albatross @CR2032 • 5 februari 2019 18:43

Um, uBlock Origin werkt al op Chrome. Maar ze hebben plannen om dat type extensie te gaan verbieden.

CH4OS @albatross • 5 februari 2019 20:09

Nee, ze gaan een API dat uBlock Origin veelvuldig gebruikt blokkeren. De extensie zelf wordt niet verboden; zo brengt uBlock Origin het inderdaad, maar is dus niet helemaal waar.

albatross @CH4OS • 5 februari 2019 20:13

Inderdaad. Maar aan alleen een extensie heb je niet zo veel.

De API om URL's eerst te filteren door een ander (zoals uBlock Original) gaat verdwijnen, zodat de extensie zinloos wordt.

CR2032 @albatross • 5 februari 2019 18:48

Ik doelde dan ook na de aangekondigde wijziging van Chrome...

NotSoSteady @albatross • 5 februari 2019 18:18

Gebruik je toch een andere browser.

Timmo70 @mikesmit • 5 februari 2019 18:02

Source?

mikesmit @Timmo70 • 5 februari 2019 18:03

https://tweakers.net/nieu...mmige-adblockers-uit.html

Luttele 12 dagen geleden nog hier op tweakers zelf

albatross @mikesmit • 5 februari 2019 18:02

Zeker! Ik dacht precies hetzelfde!

albatross @mikesmit • 5 februari 2019 18:09

Vind het overigens ook jammer dat je meteen weer een 0 krijgt. Lijkt me namelijk tamelijk ontopic, wanneer een zeer populaire browser iets moois aankondigd, terwijl ze gelijk ook al aangegeven hebben iets anders moois spoedig weg te gaan halen.

mikesmit @albatross • 5 februari 2019 18:58

Een 0 is meer dan terecht aangezien we nou niet discussiëren over het artikel.

GoT.Typhoon @mikesmit • 5 februari 2019 18:12

Kan nog prima, maak je maar niet druk, gewoon even omzeilen die handel.

djwice

@mikesmit • 5 februari 2019 18:22

Deze is wellicht ook nuttig voor @mikesmit :
https://chrome.google.com...jbmefodhfapmkghcbnh?hl=nl

Ook van Google voor Chrome : Google Analytics blokkeren.

[Reactie gewijzigd door djwice op 23 juli 2024 00:13]

DutchCrownNL 5 februari 2019 17:55

We hebben met z’n allen vaak wel iets te zeuren/klagen over Google en Privacy, maar dit is een erg mooie extensie,

Zou me niets verbazen als ze deze extensie later gaan integreren in een nieuwe build van Chrome.

walterg 5 februari 2019 18:40

"Google maakt ook bekend dat het in de afgelopen twee jaar wachtwoorden van 110 miljoen gebruikers uit voorzorg heeft gereset. Het gaat daarbij om wachtwoorden die in combinatie met het e-mailadres van de gebruikers werden aangetroffen in verzamelingen van accounts."

Interessant. Ik gebruik geen 2 factor en heb geen alternatieve email adressen op de gmail accounts die ik voor werk en projectjes gebruik (want mijn privé mail blijft van hun platform af).

Ben benieuwd wat er zou gebeuren als mijn account(s) op zo'n lijst terecht komt.

CR2032 5 februari 2019 18:46

Knappe actie. Dat is toch wel het grote voordeel van Google, de veiligheid is bij hen dik op orde.
Ondanks of omdat (?) ze verruit de grootste speler zijn.

kodak

Networking en security

5 februari 2019 18:29

Toch ben ik benieuwd wat vanuit Google het verweer is dat ze in eerste instantie ongevraagd persoonsgegevens van Nederlanders/EU-inwoners verwerken om de database te vullen. Dat ze het in de database veilig hashed en versleuteld opslaan wil nog niet zeggen dat ze die gegevens mogen hebben of verwerken.

edit:
Lijkt me geheel on-topic dat als we in NL/EU wetgeving hebben dat een bedrijf niet zomaar persoonsgegevens mogen verwerken ze verantwoording afleggen als ze dat dan toch doen. Google is al voor minder in opspraak geraakt bij het verwerken van persoonsgegevens. Dat er gebruikers zijn die hier voordeel van kunnen hebben doet weinig af aan de situatie of Google in de eerste plaats die persoonsgegevens al mag verwerken.

[Reactie gewijzigd door kodak op 23 juli 2024 00:13]

Yggdrasil

@kodak • 6 februari 2019 09:40

Het gaat hier om gelekte data. Die is das al in het publieke domein. Ik weet niet wat de jurisprudentie daarover is.

Verder is er waarschijnlijk geen manier om te bepalen of de gegevens van een EU-inwoner zijn.

kodak

Networking en security

@Yggdrasil • 6 februari 2019 23:50

De Europese wetgeving vereist dat de persoonsgegevens van eu-inwoners niet zomaar door bedrijven verwerkt mogen worden. Ook niet als ze door iemand publiek gemaakt zijn. Daarnaast vereist de wet dat een bedrijf dat die persoonsgegevens wil verwerken daar vooraf van aan kan tonen dat ze de gegevens mogen verwerken. Google is een bedrijf dat in de EU actief is en daar ook deze dienst levert aan EU-inwoners. Het lijkt me dus niet aannemelijk dat Google er vanuit gaat dat er ze geen persoonsgegevens van EU-inwoners uit die datasets verwerken.En er hoeft maar een EU-inwoner te zijn die het kan aantonen dat de persoonsgegevens ongevraagd verwerkt worden en Google zou een probleem kunnen hebben. Het lijkt me dat Google daar wel rekening mee heeft gehouden.

Verwijderd 5 februari 2019 18:48

Absoluut nuttige extensie

Verwijderd 5 februari 2019 20:25

Google weet al genoeg over mij, mijn wachtwoorden sla ik niet op bij Google, ik gun een ander ook wat

[Reactie gewijzigd door Verwijderd op 23 juli 2024 00:13]

obimk1 6 februari 2019 09:47

Geheel O.T.

Ik gebruik geen Chrome, omdat het m.i. geen goed idee is om de webbrowser van Google te gebruiken. Welke data en hoe het gebruikt wordt blijft een beetje ondoorzichtig,. En de laatste poging van Google om adblockers te blokkeren vind ik ook niet geweldig.

https://www.digitaltrends...ensions-stop-functioning/

En het is niet zo dat sommige advertenties fungeerde als malware vector.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (66)

Sorteer op:

Weergave: