Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Mozilla dicht lek in wachtwoordmanager Firefox

Mozilla waarschuwt dat het mogelijk was opgeslagen wachtwoorden in Firefox te kopiëren naar het klembord zonder dat het invoeren van een vooraf ingesteld hoofdwachtwoord vereist was. Bij een nieuwe versie van Firefox is de kwetsbaarheid verholpen.

Mozilla beschouwt de impact van de kwetsbaarheid, met aanduiding CVE-2019-11733, als 'gemiddeld' en heeft deze verholpen in Firefox 68.0.2 en Firefox ESR 68.0.2. Standaard kunnen gebruikers wachtwoorden voor opgeslagen aanmeldingen in Firefox direct vanuit de wachtwoordmanager tonen, maar gebruikers kunnen deze mogelijkheid ook achter een hoofdwachtwoord zetten.

Het bleek dat wachtwoorden dan nog steeds gekopieerd konden worden naar het klembord zonder dat het hoofdwachtwoord ingevoerd hoefde te worden. Vanaf versie Firefox 68.0.2 is ook voor het kopiëren van wachtwoorden het invoeren van het hoofdwachtwoord vereist.

Bij de komende versie 69 van Firefox voert Mozilla enkele verbeteringen door bij zijn wachtwoordmanager. Onder andere krijgt deze een generator om veilige wachtwoorden aan te maken. Bij Google Chrome is standaard het invoeren van bijvoorbeeld de Windows-beveiliging vereist om de opgeslagen wachtwoorden in te kunnen zien.

Door Olaf van Miltenburg

Nieuwscoördinator

19-08-2019 • 08:50

38 Linkedin Google+

Reacties (38)

Wijzig sortering
De oude berichtgeving van zowel Mozilla als alle andere nieuwsbronnen die het klakkeloos overnemen is ongelukkig. Het daadwerkelijke probleem is veel kleiner dan het werkelijk is.

In deze post worden de precieze details beschreven van het probleem. Allereerst zijn de wachtwoorden alleen beschikbaar als je al eerder de master password had ingevoerd sinds Firefox was gestart. Door de bug kun je het wachtwoord kopiëren door het negeren van de wachtwoord bevestiging. Zie ook mijn eerdere link met referenties naar de broncode.

Zelfs zonder dit mechanisme zijn er vele andere manieren om via Developer Tools aan het wachtwoord te komen. Naar mijn mening is dit probleem enorm opgeblazen.

Edit: de berichtgeving van Mozilla is ondertussen gewijzigd. Er wordt nu benadrukt dat het gaat om het opnieuw invoeren van het wachtwoord.

[Reactie gewijzigd door .Peter. op 19 augustus 2019 22:21]

Zelfs zonder dit mechanisme zijn er vele andere manieren om via Developer Tools aan het wachtwoord te komen. Naar mijn mening is dit probleem enorm opgeblazen
Maar dat maakt dit probleem niet minder ernstig, en het stelt de hele wachtwoordmanager functie juist in twijfel.

Omdat een wachtwoordmanager de sleutel is tot al je websites is het enorm belangrijk dat de security 100% goed in elkaar zit.

Ik gebruik nu een paswoord manager die elk paswoord individueel als GPG file encrypt, en in plaats van een master paswoord gebruik ik een Yubikey smartcard. Waar ik ook nog eens de "tap to sign" aangezet heb zodat je hem voor elk paswoord even moet aanraken. Dat voorkomt dat iemand hem "leegzuigt" als je smart card unlocked is.

Natuurlijk zijn er nog steeds mogelijkheden om hier omheen te komen zoals reeds geunlockte wachtwoorden uit het scherm of clipboard lezen. Maar in elk geval is het een stuk lastiger om bij de hele database te komen. Zelfs als er een bug in de tool zit dan heb je nog de Yubikey beveiliging in de hardware sleutel.

[Reactie gewijzigd door GekkePrutser op 19 augustus 2019 11:56]

Omdat een wachtwoordmanager de sleutel is tot al je websites is het enorm belangrijk dat de security 100% goed in elkaar zit.
Ja en nee. Het is uiteraard wenselijk dat een wachtwoordmanager zo goed mogelijk beveiligd is, maar hij hoeft niet per se perfect te zijn.

In de praktijk is een wachtwoordmanager een alternatief voor het hergebruiken van 1 of een paar wachtwoorden tussen heel veel verschillende sites, en om een netto-positieve toevoeging te zijn, hoeft een wachtwoordmanager dus alleen maar veiliger te zijn dan een hergebruikt wachtwoord - en dat is hij al snel.

Dit neemt natuurlijk niet weg dat dergelijke beveiligingslekken opgelost moeten worden, maar het is wanneer je het in perspectief bekijkt allemaal een stuk minder kritiek dan het vaak voorgedaan wordt, en het is zeker geen reden om bijvoorbeeld geen wachtwoordmanager te gebruiken (wat wel de conclusie is die een hoop mensen altijd triomfantelijk onder dit soort berichten plaatsen).
Ik gebruik nu een paswoord manager die elk paswoord individueel als GPG file encrypt, en in plaats van een master paswoord gebruik ik een Yubikey smartcard. Waar ik ook nog eens de "tap to sign" aangezet heb zodat je hem voor elk paswoord even moet aanraken. Dat voorkomt dat iemand hem "leegzuigt" als je smart card unlocked is.
Je bent je er hopelijk wel van bewust dat, in tegenstelling tot vrijwel iedere andere wachtwoordmanager, het bij Pass doorgaans mogelijk is om te achterhalen op welke websites/diensten je allemaal een account hebt, zonder een wachtwoord in te voeren? Dit i.v.m. het 1-bestand-per-website-model.
Een voordeel van pass is dat het zowel open-source en simpel is. Het idee van een achterdeurtje of zelfs een bug wordt hierdoor minder.

Bovendien heb ik liever mijn eigen git op een priveserver voor wachtwoorden dan een commercieel product.
In de praktijk is een wachtwoordmanager een alternatief voor het hergebruiken van 1 of een paar wachtwoorden tussen heel veel verschillende sites, en om een netto-positieve toevoeging te zijn, hoeft een wachtwoordmanager dus alleen maar veiliger te zijn dan een hergebruikt wachtwoord - en dat is hij al snel.
Daar denk ik toch anders over. Hergebruik is ook geen goede optie en enorm onveiliger. Je gebruikt juist een paswoord manager om veel veiliger te zijn. Niet een beetje meer. Overigens zou ik liever helemaal passwordless zien zoals FIDO2 / Smart cards maarja...
Je bent je er hopelijk wel van bewust dat, in tegenstelling tot vrijwel iedere andere wachtwoordmanager, het bij Pass doorgaans mogelijk is om te achterhalen op welke websites/diensten je allemaal een account hebt, zonder een wachtwoord in te voeren? Dit i.v.m. het 1-bestand-per-website-model.
Klopt, maar dat boeit me eigenlijk niet zo. Let ook wel dat iemand daadwerkelijk mijn password folder moet bemachtigen om dit daadwerkelijk te kunnen hebben. En zelfs dan nog is de informatie van welke sites ik gebruik zeer beperkt nuttig en kan je met wat google searches ook wel vinden. Uiteraard gebruik ik op mijn email account MFA dus het doen van een paswoord reset via mijn email zal ook heel lastig worden.

[Reactie gewijzigd door GekkePrutser op 19 augustus 2019 17:23]

[...]
Je bent je er hopelijk wel van bewust dat, in tegenstelling tot vrijwel iedere andere wachtwoordmanager, het bij Pass doorgaans mogelijk is om te achterhalen op welke websites/diensten je allemaal een account hebt, zonder een wachtwoord in te voeren? Dit i.v.m. het 1-bestand-per-website-model.
Ja... als je toegang hebt tot de account... waar deze wachtwoorden opgeslagen staan. Tegenwoordig ondersteund vrijwel elke distro full disk encryption en/of home folder encryption :Y)

Mocht je de folder niet encrypted hebben gemaakt tijdens install dan is er altijd nog bijv. Tomb }:O

Hiermee zou je niet meer kunnen achterhalen welke bestanden waar bij horen. Ik wil alleen maar aangeven dat standaard home folder versleuteling hier wel de meest gangbare optie is. Lock je pc wanneer je wegloopt en ik garandeer je dat niemand iets met je bestanden kan, niet uitlezen, niet eens door je home folder navigeren.

Daarnaast doen de wachtwoordmanagers, zoals die in Chrome en Firefox, hetzelfde als wat jij nu noemt. In de browsers mag je vrij over de wachtwoorden navigeren. Chrome moet hiervoor wel aangemeld staan maar bij Firefox houdt niets je tegen. Als je ze wilt accessen dan pas vragen ze om je wachtwoord. In dat opzicht verschillen deze twee dus niet zo veel. Remote diensten, daar gaat het anders worden natuurlijk :) Echter is dat weer een hele andere discussie.

@GekkePrutser Ik gebruik zelf ook pass :) I love it!

[Reactie gewijzigd door EpicSoftworks op 20 augustus 2019 09:10]

Hoewel ik een grote fan ben van het werk van Jason is deze oplossing wel "next level" voor veel gebruikers. Het is mooi dat het er is, maar ik zou het niet aanraden voor mijn familie, bijvoorbeeld.

Hoe vervelend het ook is dat er soms gaten an bugs gevonden worden in password managers wordt het internet, in het algemeen, er wel veiliger en beter van.

Als iemand al lokale toegang heeft kunnen ze ook een keylogger installeren of memory dumps doen, wat elke manager verslaat.
Ja dat valt me ook tegen aan 'pass'. Ik zou willen dat het wat gelikter was. Met name de GUI tools eromheen. De hele git synchronisatie enzo is heel handig voor developers, maar als je nooit met git gewerkt hebt is het drama. Ik gebruik nu de QtPass GUI en de Browserpass plugin, niet alleen maar de commandline. Maar dan nog.. Regelmatig heb je commit clashes enzo. Het is niet zozeer de uitwerking maar meer het onderliggende principe waar ik een fan van ben.

Maar de manier waarop de paswoorden ge-encrypt worden naar een public key van een of meedere smart cards (of GPG keys) vind ik perfect, geen enkele andere paswoord manager biedt dat. Ze werken allemaal met een master password en dan unlock je gelijk alles.

Met een beetje aandacht zou dit wel een oplossing voor iedereen kunnen zijn. We gebruiken immers ook allemaal een pinpas, die werkt precies zo.

Maar een memory dump of keylogger verslaat deze oplossing dus niet, als je hem met een Yubikey met tap to sign gebruikt. Dat vind ik juist het mooie eraan. Het computergeheugen zal nooit de private key bevatten. Zelfs als je de pincode achterhaalt en de yubikey in de machine zit, moet je om elk paswoord te decoderen een aparte fysieke tap van de gebruiker weten te triggeren.

[Reactie gewijzigd door GekkePrutser op 19 augustus 2019 17:24]

Dat... is best zorgwekkend. Zelfs nu het is opgelost, is het feit dat deze bug bestond al een goede reden om die wachtwoordmanager vooral NIET te gebruiken.

Om een wachtwoord op het klembord te zetten, is het nodig om dat wachtwoord in het geheugen te hebben. En bij een traditionele password manager, zijn de wachtwoorden versleuteld opgeslagen met als sleutel o.a. het hoofdwachtwoord zodat deze enkel in het geheugen kan worden geladen als het hoofdwachtwoord wordt ingevoerd. Bij Firefox is dat dus vreemd genoeg niet het geval, en kunnen je wachtwoorden zonder je hoofdwachtwoord worden ingelezen. En dus ben ik nog heel blij met Keepass waarbij dit soort problemen uberhaupt onmogelijk kunnen zijn.
Daar zou ik maar niet zo zeker van zijn. In het verleden zijn er dezelfde, en nog ergere bugs gevonden in Keeppas die net zo onveilig/onveiliger was als wat Mozilla zojuist heeft gedicht.

https://news.ycombinator.com/item?id=9727297
https://lifehacker.com/ke...-steal-your-pa-1781486764

dit zijn al 2 voorbeelden die toch in een ander licht zetten. De laatste keer dat ik keek, hadden alle populaire password managers een vulnerability in zich zitten (vandaar dat ik alles in me hoofd opgeslagen hou) En nu spectre en meltdown een ding zijn, maakt het de vurnability nog enger (ondanks dat het volledig gedocumenteerd is)
De laatste keer dat ik keek, hadden alle populaire password managers een vulnerability in zich zitten
Je bedoelt: eentje die intussen opgelost was, neem ik aan? Zo vaak komen serieuze bugs gelukkig niet voor namelijk bij pw managers.
(vandaar dat ik alles in me hoofd opgeslagen hou)
Aangezien het onveilig is om meerdere keren hetzelfde ww te gebruiken, een ‘patroon’ te gebruiken en zelfs al onveiliger is om bestaande woorden te gebruiken, betekent dit dat je voor je bankrekening, tweakers account, mobieltje, DigiD, e-mail accounts, Paypal, sportabonnement, tijdschriftabo, Facebook, webwinkels, WiFi-routers etc etc al gauw tientallen abstracte wachtwoorden (en niet te vergeten de bijbehorende gebruikersnamen en liefst nog een e-mail-adres) moet onthouden.

Ik vind het knap als mensen dat kunnen, maar mij lukt dat echt niet met de 791 accounts plus aanvullende info die ik in m’n pw-manager heb staan en ik wed dat vrijwel niemand het kan.
En nu spectre en meltdown een ding zijn, maakt het de vurnability nog enger (ondanks dat het volledig gedocumenteerd is)
Daar helpt toch geen wachtwoord tegen, met of zonder wachtwoord-manager..

Kijk, Spectre/Meltdown zijn heel lastig effectief in te zetten. Het is hoogstwaarschijnlijk veel simpeler, goedkoper en betrouwbaarder om bij jou in te breken en een keylogger in te bouwen in je laptop, om aan je wachtwoorden te komen. (Of gewoon aan te bellen en je met twee man fysiek te bedreigen, ja ja ik weet het)

In de praktijk is dat vaak allemaal niet de moeite voor wat persoonlijke wachtwoorden.
ja dat is waar daar heb je wel gelijk in. Ik gaf ook aan dat het een goed gedocumenteerde "Lek" WAS.
Neemt niet weg dat Spectre en Meltdown een gevaar zijn voor password managers zoals Keeppas.
KeePass from version 1.24 & 2.20 (in 2012) use header authentication to prevent data corruption attacks. http://keepass.info/help/kb/sec_issues.html
Het gebruik van HTTPS is net zo goed lang geleden opgelost, en was dankzij o.a. signing sowieso al niet kritiek. Bovendien was de melding al volledig opgeblazen. Het ging er namelijk om dat de *update-melding* niet via HTTPS werd geregeld. De bestanden werden sowieso niet vanaf de Keepass-website geserveerd, maar vanaf Sourceforge. Was het een fout? Ja, zeker. Was het een relevant gevaar? Niet echt.

Geen van die beide aanvallen lekken wachtwoorden wanneer de database gelocked was, dus ik zou dit zeker niet onveiliger willen noemen. Het eerste ging om dataintegriteit, wat een risico is van dataopslag sinds data werd opgeslagen, en het tweede was dus een probleem met de update-check wat kon worden omzeild door gangbare security-practices aan te houden bij het updaten van een veiligheidsgevoelige applicatie.

[Reactie gewijzigd door Stoelpoot op 19 augustus 2019 09:56]

Niet alle. Enpass is niet web based en maakt gebruik van replicatie op een door jou aangegeven adres (Google, Onedrive, eigen WebDAV, etc.) met de lokale database op het apparaat wat je gebruikt. Enpass heeft geen enkel stuk data van jou op hun eigen websites.
Ah dat wist ik niet! Was er ook niet bekend mee. Gelijk weer wat voer voor nieuwe software.
Ik denk dat er ook bedoeld wordt dat het hoofdwachtwoord opnieuw ingevoerd zou moeten worden als het al een keer eerder is opgegeven. Als ik de kwetsbare versie open kan ik in ieder geval zonder een masterwachtwoord in te voeren niet eens de lijst met opgeslagen accounts zien, laat staan kopiëren. Ik neem dus aan dat die gewoon versleuteld is. In dat geval valt deze kwetsbaarheid dus wel mee, toch?
Dat zou correct zijn, ware het niet dat dit dan nog steeds betekend dat, ook al moet het hoofdwachtwoord nog ingevoerd worden ter bevestiging, de wachtwoorden alsnog in het geheugen staan, of dat de wachtwoorden ontsleuteld kunnen worden zonder jouw wachtwoord.

Wat je ziet is niet per se een accurate weergave van wat er gebeurd. Het kan ook zo zijn dat het controleren van je wachtwoord en het ontsleutelen van de gegevens twee losse taken zijn. In dat geval is het hoofdwachtwoord dus puur een softwarematige bevestiging.

Als je kijkt naar de wachtwoordmanager Keepass, is daar het ontsleutelen van de wachtwoorden ook direct de controle van je hoofewachtwoord: Zonder het juiste wachtwoord kan het bestand simpelweg niet ontsleuteld worden. Hetzelfde geldt bijvoorbeeld ook voor de cloudservice MEGA.
Het is zeker een puur softwarematige bevestiging. Dat moet ook wel, want Firefox heeft na de invoering van het hoofdwachtwoord gedurende de hele browsersessie, dus tot Firefox afsluit, vrij de beschikking over al je wachtwoorden, hoewel deze niet mogen worden getoond aan de gebruiker. Vandaar dat dit dus een grote bug is. Om bij de eigenlijke wachtwoorden te kunnen komen is een extra softwarematige bevestiging cruciaal.
Het vragen om een master-password voordat deze getoond worden is schijnveiligheid. Iedereen die de f12 toets kan vinden op een toetsenbord met basis kennis html kan zo je wachtwoorden inzien.

Je gaat naar een website waar je moet inloggen, laat Firefox het wachtwoord veld voor je invullen, klikt op de f12 toets op je toetsenbord en verandert <input type="password"> naar <input type="text"> en voila, je password in plain-text op je scherm.

Verder was het vroeger zo dat het master-password in Firefox heel makkelijk te bruteforcen was omdat deze maar 1 iteratie SHA1 gebruikte om het wachtwoord te hashen.

Nine years on, Firefox’s master password is still insecure (Artikel van 20 maart 2018):
https://nakedsecurity.sop...ssword-is-still-insecure/
Dat klopt, je moet het hoofdwachtwoord al een keer eerder invoeren om bij de lijst te komen. Als je dan rechtsklikt op een item in de lijst en wachtwoord kopiëren kiest, krijg je door een fout hoofdwachtwoord op te geven ook een kopie in het klembord.
Overigens vertoont versie 52.9.0 ESR deze fout niet.
De klembord is toch een risico, maar je kan er niet echt om heen om iets te kunnen kopiëren.

Op b.v. OSX, kan elk programma bij je klembord, zonder enige vorm van controle.
Correct. Maar dit zou impliceren dat de wachtwoorden altijd in het geheugen (blijven) staan. Normaal zou een wachtwoord enkel in het geheugen mogen staan na het invullen van het hoofdwachtwoord. Tevens moeten ze bij vergrendelen ook weer uit het geheugen verwijderd worden.
Of zoals Enpass het aanbiedt: Het gekopieerde gedeelte blijft een vooraf ingestelde tijd in je geheugen staan. Is de tijd voorbij dan trekt Enpass deze eruit. Overigens een geweldige manager, jammer dat deze nooit meegenomen wordt.
Dat is ook wat Keepass doet inderdaad, na een ingestelde tijd (10s default geloof ik) wordt het clipboard geleegd. Verder kun je ook met AutoType werken: die kopieert niets naar het klembord, maar voert keystrokes uit.
-EDIT-: verkeerde reactie..

[Reactie gewijzigd door DigitalExcorcist op 19 augustus 2019 09:36]

Daar lees ik vooral dat het een bekend Windows-probleem is. Dat keepass een airtight hatchway is zal ik nooit beweren. Maar van de vulnerabilities in die lijst lijkt Keepass juist de sterkste beveiliging te hebben. Zoals er door 1Password officials ook wordt gezegd: Als je geheugen door een kwaadwillende wordt uitgelezen, dan sta je al 1 stap in het digitale graf.
Ja je begrijpt niet waarom ze überhaupt nog een password manager in de browser aanbieden. Het is bewezen onveilig, vooral in combinatie met een XSS lek. (Ben mobiel, heb even geen bron.) Het geeft vooral een vals gevoel van veiligheid
Ik was juist eigenlijk wel benieuwd naar die bron... Heb zelf nog niet gehoord van een browsermanager die gekraakt is maar ben benieuwd of ik dat gemist heb
In het verleden (Windows XP/7) kon je met een tooltje op een USB stick eenvoudig de wachtwoorden uit Internet Explorer halen. Je hoefde daarvoor alleen toegang te hebben tot de pc en na het draaien van de tool had je alle wachtwoorden.

Volgens mij kun je momenteel ook door het installeren van Firefox of Google Chrome, alle wachtwoorden laten meeverhuizen naar de nieuwe browser. Het kan dus best zijn dat de wachtwoorden nog steeds vrij goed toegankelijk zijn van Internet Explorer (misschien ook bij Edge).

[Reactie gewijzigd door Kiswum op 19 augustus 2019 09:42]

Zowel Chrome als Firefox encrypteren wachtwoorden met je Windows Login. Tenzij je bij FireFox een MasterPasswoord hebt ingesteld (die overigens ook zeer slecht beveiligd is, is inmiddels al 10 jaar een bug report van open)

Een portable FireFox op een USB is dan ook meer als genoeg om alle wachtwoorden van browsers te stelen zonder enige beveiliging te triggeren. Niet enkel in het verleden, maar ook in 2019.
https://androidappwatch.e...d-cloud-password-manager/

https://crypto.stanford.e.../papers/pwdmgrBrowser.pdf <-- paper met wat technische informatie over de mogelijkheden tot het lekken van wachtwoorden bij passwordmanagers

https://dl.acm.org/citation.cfm?id=2590296.2590336 <-- ook een paper met de mogelijkheid specifiek voor XSS-lekken via Password Managers.
Geen last van, maar ik gebruik dan ook KeePass icm de juiste firefox plugins. Dan weet je in ieder geval zeker dat je wachtwoorden niet kunnen lekken zonder dat je KeePass database unlocked is.
Nou... er is wel iets wat ik heel vreemd vind.... dat als je master wachtwoord in Firefox niet heeft ingesteld, kun je je inlog wachtwoorden van de websites toonbaar maken terwijl Google Chrome dit probleem niet kent. Bij Google vraagt je om inlog wachtwoord van je computer account voordat je Chrome wachtwoorden wil zien.

Dat snap ik niet terwijl Firefox beveiliging en privacy belangrijk vindt.
Als je het firefox profiel in je app data kopieert en op een andere pc plakt, heb je ook gewoon alle wachtwoorden tot je beschikking, hoezo makkelijk achter wachtwoorden komen.
Wat kan je nog wel beschermen, als iemand toegang heeft tot je omgeving?
Dan is je masterwachtwoord als nog zinloos. Zelfs aan een encrypted HDD heb je niets, als iemand toegang heeft.
Je kan tegenwoordig nog steeds met een hirens boot usb stick in elke Windows komen (zonder bitlocker op een schijf) zonder wachtwoord.
Enig idee of er een "logout" button komt voor het Masterpassword?
Ik moet nu iedere keer de browser sluiten om uit te loggen, om te voorkomen dat mijn password iedere keer automatisch ingevuld wordt.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True