Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft Edge verschijnt met functie die waarschuwt voor uitlekken wachtwoord

Microsoft heeft versie 88 van zijn Edge-browser uitgebracht. Deze versie bevat een wachtwoordgenerator en Password Monitor, een functie die gebruikers waarschuwt als ze een wachtwoord opslaan dat onveilig is geworden door een datalek.

Password Monitor is onderdeel van Edge 88, maar Microsoft meldt dat het enkele weken kan duren voor gebruikers deze functie daadwerkelijk in de browser zien verschijnen. Als een gebruiker een wachtwoord invoert dat opgeslagen moet worden, maakt de functie contact met een server om te checken of dit bij een datalek is uitgelekt. Dit doet Password Monitor vervolgens om de zoveel tijd uit voorzorg.

Microsoft meldt dat het belangrijk is dat de Edge-server geen informatie bevat over de gebruikersnamen en wachtwoorden van gebruikers en dat derde partijen geen toegang mogen verkrijgen tot de communicatie tussen gebruiker en Edge-server. Microsoft maakt hiervoor gebruik van homomorphic encryption. Dit stelt het bedrijf in staat analyses uit te voeren op versleutelde data, zonder dat het de gegevens hoeft te ontsleutelen om resultaten te krijgen.

Volgens Microsoft gaat het om zijn eerste consumententoepassing voor homomorphic encryption en werkt het aan verdere toepassingen. Het bedrijf claimt dat de procedure is geoptimaliseerd om op zowel systemen met minder krachtige specificaties als high-end systemen te werken en ook functioneert het op alle besturingssystemen waarop Edge draait.

Edge 88 bevat verder een wachtwoordgenerator en Microsoft heeft de weergave voor toestemmingen die aan sites verleend zijn aangepast. Zo moeten gebruikers beter overzicht hebben welke sites toestemming hebben om locaties te delen en de camera en microfoon mogen benaderen. Tenslotte is het bij Edge 88 makkelijker gemaakt om trackingpreventie in te schakelen in de privémodus en is ondersteuning voor Secure DNS toegevoegd.

Wat vind je van dit artikel?

Geef je mening in het Geachte Redactie-forum.

Door Olaf van Miltenburg

Nieuwscoördinator

22-01-2021 • 10:13

42 Linkedin

Reacties (42)

Wijzig sortering
Er is wel wat meer nieuw dan dit, Tweakers. Edge 88 is een vrij grote update eigenlijk. Vernieuwde iconen, thema ondersteuning, sidebar search, optionele Outlook-integratie op NTP, geschiedenis en tabs synchronisatie, sleeping tabs, etc.

https://blogs.windows.com...lves-from-online-threats/

[Reactie gewijzigd door Loller1 op 22 januari 2021 11:51]

eehhh, outlook integratie op NTP? Het Netwerk Tijd Protocol (https://en.wikipedia.org/wiki/Network_Time_Protocol)? Of bedoel je dat ze nntp, het netwerk-news-transfer-protocol (https://en.wikipedia.org/wiki/Network_News_Transfer_Protocol)?

Voor beide protocollen lijkt het mij niet dat microsoft die als nieuw gaat ondersteunen: Het nntp protocol is de meest waarschijnlijke die ze wel zouden kunnen ondersteunen. Dat hebben ze volgens mij in het verleden (in de vorige eeuw) wel gedaan maar gezien het huidige gebruik ervan zal het mij verbazen als ze dat weer oppakken.

Het ntp protocol is meer iets voor het operating systeem om te ondersteunen. Dat wordt door msWindows ondersteund als sntp, simplified netwerk tijd protocol: De beste nauwkeurigheid die ze daar in beloven is op de seconde nauwkeurig, maar in de regel 'goed genoeg'. De ntp standaard kan al sinds het begin veel beter, de gemiddelde unix of linux machine haalt 100 keer zo nauwkeurig.
Ik gok dat NTP staat voor New Tab Page als ik 't artikel zo door lees ;)
Bron van Wikipedia:
A community standard for homomorphic encryption is maintained by the HomomorphicEncryption.org group, an open industry/government/academia consortium co-founded in 2017 by Microsoft, IBM and Duality Technologies. The current standard document includes specifications of secure parameters for RLWE.

Goed om te weten dat de beveiligingslat hoog ligt. Een wachtwoordmanager is raadzaam als je zelf de controle wilt houden.
Maakt dit dan gebruik van een haveibeenpwnd API of iets dergelijks, of hebben MS, Apple en Google hun eigen databases?
Ik denk haveibeenpwned, want de maker daarvan werkt voor Microsoft.
https://www.troyhunt.com

[Reactie gewijzigd door ItsNotRudy op 22 januari 2021 13:10]

I don't work for Microsoft, but they're kind enough to recognise my community contributions by way of their award programs which I've been a part of since 2011.
Dank, zinsvorm aangepast. Hij werkt inderdaad voor Microsoft, niet bij.
Blijkbaar wel, want volgens Google Chrome is één van mijn wachtwoorden uitgelekt die bij haveibeenpwned niet bekend is.
Ik zag toevallig vandaag dat Google meerdere databreaches checkt waaronder:

000webhost
17 Media
1.4B collection
7k7k
Adobe
Anti-public
Badoo
Bitly
Collection 1-5
Dropbox
Exploit.in
iMesh
Imgur
Last.fm
Lifeboat
LinkedIn
Mate1
Neopets
NetEase
Nexus Mods
Pemiblanc
R2Game
Rambler
Tianya
Tumblr
VK
VN
Yandex
Youku
Zoosk

zie: https://support.google.co...9?hl=en&ref_topic=7189123
En niet te vergeten: Tweakers
(bron: Chrome waarschuwde me dat een van m'n wachtwoorden mogelijk compromised was, te weten die van Tweakers. Nu gebruik ik Edge en had Chrome nog m'n oude password, maar toch.)

[Reactie gewijzigd door Propheticus op 22 januari 2021 13:27]

De combinatie ww / gebruikersnaam die je gebruikt op Tweakers is mogelijk compromised. Zegt niets over de bron van het lek. Als je dezelfde combinatie ergens anders gebruikt en daar is een lek dan geeft Chrome dit ook aan bij Tweakers.
Zou kunnen, maar dan was het wel een heel oud wachtwoord. Ik gebruik al lang niet meer dezelfde wachtwoorden voor verschillende diensten (icm Keepass).
Hmm...op zich goed. Alleen hoe zit het wachtwoorden en accounts die niet via de browser lopen? MAW is dit een vervanging voor stand-alone password managers zoals kee-pass? En wat als je op een Apple iPad werkt en een PC? Kun je die wachtwoord kluis dan syncen?
ik vraag me af hoe die werken, want volgens mij heb je voor HIBP een account nodig (dat best wel duur is) en voor mijn gevoel niet meer gestoeld is op privé gebruik ik bedoel 3,50 per maand is behoorlijk als je je bedenkt dat je als gemiddelde gebruiker hooguit 100 queries per maand doet. terwijl je voor die 3,50 een miljoen queries op aws doet.

in enige mate kun je dan de achterliggende database we downloaden via torrent maar ik mis een (opensource) programma / plugin om met die data te kunnen werken. bitwarden lijkt alleen maar via de API te werken namelijk.
hier staat de verklaring van de eerste plugin in het rijtje:
https://github.com/andrew...ly-supported-breach-lists

Username based is 3,50. De rest is gratis zo te zien.


--------
Ik heb zojuist HIBPOfflineCheck getest in offline mode. Werkt prima!
(moet je wel even de HIBP database los erbij downloaden, een gig of 11 is die).

[Reactie gewijzigd door bilbob op 22 januari 2021 12:57]

Ja, wachtwoord sync werkt al op iOS. Geschiedenis en Open Tabs nog niet, maar komt eraan (aldus de 'kleine lettertjes')
In z'n algemeenheid, hoe werkt dit? Worden er bekende database gehashed en vergeleken, of hoe moet ik mij dat voorstellen?
Ja, aan de hand van de haveibeenpwned.com database
Mooi dat ook Edge deze functie heeft, ik gebruik Edge al enige tijd nu op zowel mijn telefoon als op de computer, ben er wel erg blij mee.
Toepassing homomorphic encription toepassing medische gegevens:
https://www.microsoft.com...ds/2015/11/ManualHE-3.pdf
(Niet dat ik het helemaal snap, maar het geeft een idee wat er gebeurt.)
En hoe veilig is de functie op het moment van checken?Daarmee moet het immers het wachtwoord bekijken en dan zoeken.

Zal wel weer een exploit voor komen wat die functie onderschept qua dataverkeer.
Ze hebben waarschijnlijk de gelekte wachtwoorden in hun database met een known hash opgeslagen. Zodra je een check doet stuurt je browser een hash naar de server om de hashes te vergelijken, je ww zal dus nooit over de lijn worden gestuurd.
Ik hoop dat ze zelfs de hash nooit helemaal meesturen en alleen de eerste 5 chars van een hash gebruiken om een lookup te doen. Dan krijg je wel een paar honderd resultaten, maar die kun je dan makkelijk lokaal checken.
Ik ben zeer tevreden over Edge. Geschiedenis en Open Tabs zijn een mooie aanvulling op de laptop. Nu nog even op iOS (werkt al op Android trouwens!)
Ik hoop dan wel dat Microsoft niet hetzelfde doet als Apple op de iPad. Daar wordt ik gek van de meldingen.
Apple controleert eerst de combinatie en als vervolgens het wachtwoord ook ergens anders wordt gebruikt (dus niet de combinatie) dan geeft hij een melding. Gevolg, volgens Apple moet ik mijn wachtwoord op 170 sites aanpassen.
Wat daarin niet meetelt is dat ik op al die sites een ander account gebruik met hetzelfde wachtwoord. En ik mij niet druk maak om die sites met het standaard wachtwoord, omdat dit meestal niet sites zijn waar informatie sta die ik belangrijk acht.
Andere sites die iets doen met betalingen of vraag/aanbod of waar meer persoonlijke data staat heb ik wel voorzien van eigen wachtwoord en in veel gevallen ook van 2FA (behalve Tweakers en Bol.com, want die lijken 2FA niet belangrijk te vinden terwijl die iets doen met Vraag/Aanbod -en daardoor oplichting vergemakkelijken- of betaalgegevens opslaan)

Op dit item kan niet meer gereageerd worden.


Apple iPhone 12 Microsoft Xbox Series X LG CX Google Pixel 5 Sony XH90 / XH92 Samsung Galaxy S21 5G Sony PlayStation 5 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2021 Hosting door True