Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Chrome Canary voor desktop en Android krijgt wachtwoordchecker

De Canary-versie van de Chrome-browser voor desktops bevat een experimentele Password Checkup-functie. Tot nu toe was deze functie als extensie beschikbaar. Ook Android krijgt de wachtwoordchecker.

De functie is via een flag met de naam 'Password leak detection' in versie 78 van de Chrome Canary te activeren. De functie checkt na het opstarten of ingevoerde wachtwoorden via datalekken op straat zijn komen te liggen en geeft gebruikers de melding dat het wachtwoord op publieke lijsten is aangetroffen. De gebruiker kan deze dan wijzigen. De functie zit ook in de wachtwoordmanager en de bedoeling is volgens TechDows dat de gebruiker naar de pagina van de dienst geleid kan worden om daar het wachtwoord te wijzigen.

XDA schrijft dat uit een recente commit is op te maken dat Chrome Canary 78 voor Android ook de wachtwoordchecker bij de instellingen voor wachtwoorden krijgt. Gebruikers kunnen hiermee het scannen op onveilige wachtwoorden in- en uitschakelen. Google kondigde de wachtwoordchecker in februari aan als extensie voor Chrome en sindsdien hebben 650.000 Chrome-gebruikers deze gebruikt. Google liet al weten de dienst naar meer diensten te willen uitbreiden.

Door Olaf van Miltenburg

Nieuwscoördinator

22-08-2019 • 21:48

20 Linkedin Google+

Reacties (20)

Wijzig sortering
Dit werkt toch alleen als je het wachtwoord opslaat in je browser? Die worden toch gechecked of begrijp ik het verkeerd?
Nee, zodra je een wachtwoord veld verstuurt zal de extensie een 4-byte grote hash maken van je wachtwoord + username en op basis van die 4 letterige hash een database ophalen met daarin gehashte en geencrypte username+wachtwoorden. Vervolgens zal hij lokaal checken of jouw gegevens daarin voorkomen door ze op dezelfde manier te hashen en encrypten en te kijken of het resultaat in die databast staat. Als dag het geval is krijg je een melding ervan.

Je wachtwoord en accountnaam gaan dus niet naar google om gechecked te worden. Het enige wat google zou kunnen weten is dat de username en wachtwoord dat jij nu wil testen in een van de 65535 databases zou kunnen voorkomen die zij hebben gemaakt.

Een simplistisch voorbeeld, stel ik log in met 'kees' en het wachtwoord 'kees1234'. De extensie/browser maakt dan eerst een korte hash van 'kees+kees1234', bijvoorbeeld: EB E1. Met die hash haalt hij een database op bij google met daarin alle gelekte username en wachtwoorden waarvan de hash begint met 'EBE1'. Daar gaat hij dan lokaal in zoeken om te zien of er een hash in voorkomt die overeenkomt met de gebruikte credentials.
Rare vraag misschien, maar hoe weet de browser nu of ik een wachtwoord aan het invullen ben? Kan toch bezig zijn een adresveld in te vullen?

Edit: Zie overigens net dat je ingelogd moet zijn op je browser.... gaat voor mij dus zo wie zo niet op.

[Reactie gewijzigd door Akemi op 23 augustus 2019 11:09]

Een wachtwoord veld heeft meestal het type 'password' zodat je wachtwoord niet in plain tekst verschijnt als je hem intyped. En heel vaak staat er een veld 'user' of 'username' of 'account' etc voor.

Het is geen 100% exacte science dus hij zal inderdaad afentoe proberen om een wachtwoord+adres te checken in plaats van een wachtwoord+gebruikersnaam en afentoe zul je websites tegenkomen die het wiel helemaal opnieuw uitvinden en zelf een wachtwoord veld maken in javascript. Die zal hij er dan meestal ook niet uithalen.

Een beetje hetzelfde probleem als een wachtwoordmanager in de browser heeft, die zal ook niet altijd de juiste velden detecteren en bijvoorbeeld adressen en usernames doorelkaar halen.
Kanarieversie van Chrome :?

Even googlen. Nog nooit van gehoord.

Edit: Chrome Canary is a raw and unfinished browser compared to its Dev, Beta, and Stable cousins. Okay :)

[Reactie gewijzigd door STFU op 22 augustus 2019 21:57]

Canary is de beta, met meerdaagse updates, van Google Chrome.
Nee, Canary is veel meer een alpha release, en bestaat dan ook naast de stable, beta en dev channels

Stable channel: This channel has gotten the full testing and blessing of the Chrome test team, and is the best bet to avoid crashes and other issues. It's updated roughly every two-three weeks for minor releases, and every 6 weeks for major releases.
Beta channel: If you are interested in seeing what's next, with minimal risk, Beta channel is the place to be. It's updated every week roughly, with major updates coming ever six weeks, more than a month before the Stable channel will get them.
Dev channel: Want to see what's happening quickly, then you want the Dev channel. The Dev channel gets updated once or twice weekly, and it shows what we're working on right now. There's no lag between major versions, whatever code we've got, you will get. While this build does get tested, it is still subject to bugs, as we want people to see what's new as soon as possible.
Canary build: Canary builds are the bleeding edge. Released daily, this build has not been tested or used, it's released as soon as it's built. Because there's no guarantee that it will even run in some cases, it uses it's own profile and settings, and can be run side by side another Chrome channel. By default, it also reports crashes and usage statistics to Google (you can disable this on the download page).

https://www.chromium.org/chrome-release-channels
Chrome: Canary - Dev - Beta - Stable
Firefox: Nightly - Developer edition - Beta - Stable
Generic: Pre-Alpha - Alpha - Beta - Stable

Het kind heeft een naam nodig.
Ook algemeen bekend als de OTAP methode:

Ontwikkel
Acceptatie
Test
Produktie
Niet echt; de O staat voor ontwikkelen, niet zozeer voor het verspreiden van een pre-acceptatie versie van je product ;)
En Acceptatie en Test zijn bij OTAP vziw ook wel vooral bedoeld als interne processen. Niet per se hoe Google en Firefox het doen door hun gebruikers daarbij te betrekken.

Het lijkt me in ieder geval niet dat de meesten bij OTAP aan deze manier van werken denken ;)

Of anders gezegd; de release van die canary build is bij een "OTAP-straat" ook pas in de P-fase... Maar het vormt daarmee ook een aspect van de A voor de dev- en stable builds :P

[Reactie gewijzigd door ACM op 23 augustus 2019 11:15]

Edge: Canary - Dev - Beta - Stable ;)
Ah, canary als in kanarie in de kolenmijn als CO-indicator.
Hm, dat is dan weer jammer..
"It is available for signed-in users only"....
Voor niks gaat de zon op...
En dan maar hopen dat die paswoord checker in de achtergrond niets upload naar een cloud ... en nadien jouw supersterk wachtwoord niet in rainbow tables terecht komt O-)
Dat doet de extensie ook niet en je kunt redelijkerwijs verwachten dat Google ook niet zo'n fout zal maken.
Hier staat een beter artikel wat het ook uitlegt:
https://9to5google.com/20...oon-be-built-into-chrome/

Just like the extension, Chrome will send an encrypted version of your username to the Password Checkup service, and the service will respond with an encrypted version of matching leaked usernames and passwords. This is used by your device to perform a check verifying whether or not that password has been compromised, without sharing that information with Google.

Alles blijft dus on-device met uitzondering van je username.
Hoewel ik een haat/liefde verhouding met Google heb, denk ik dat je juist blij moet zijn dat Google deze functionaliteit maakt. Google kan het zich niet veroorloven je wachtwoorden uit te laten lekken. Ook zullen ze het zelf niet gebruiken, want wat zouden ze er mee willen doen?

Het alternatief - een extentie die door een derde partij gemaakt is - is veel slechter omdat je dan een wildvreemde al je wachtwoorden toevertrouwt. Dat geldt natuurlijk niet wanneer die derde partij te vertrouwen is. Ik heb zelf mijn wachtwoorden in LastPass en die zou deze functionaliteit wat mij betreft best in mogen bouwen
Als ze het nou doen zoals bij haveibeenpwned.com, dan passen ze K-anonymity toe, waarbij slechts een deel van het wachtwoord verzonden wordt. Dat deel is als het goed is onvoldoende groot om alsnog via een brute force attack het wachtwoord te kraken.

Een nadeel is wel dat er meer data terug komt (alle hashes van matchende wachtwoorden vwb het verstrekte deel) maar door de juiste factor te kiezen ontstaat er een goede balans.

De ontvanger kan dan zien of een van de teruggegeven hashes overeenkomt met zijn/haar wachtwoord en weet dan of het wachtwoord gelekt is.

[Reactie gewijzigd door 23m3 op 23 augustus 2019 11:04]

<whishful thinking>
Wat zou het fijn zijn als Microsoft deze functionaliteit in authenticatie module inbouwd.....
</wishful thinking>

[Reactie gewijzigd door Acmosa op 23 augustus 2019 06:48]

Je kunt het ook handmatig via www.haveibeenpwned.com
Daar kun je ook op je ww zelf zoeken.

Op dit item kan niet meer gereageerd worden.


Apple iPhone 11 Nintendo Switch Lite LG OLED C9 Google Pixel 4 FIFA 20 Samsung Galaxy S10 Sony PlayStation 5 Smartphones

'14 '15 '16 '17 2018

Tweakers vormt samen met Tweakers Elect, Hardware Info, Autotrack, Nationale Vacaturebank, Intermediair en Independer de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2019 Hosting door True