Google breidt functionaliteit Chrome-wachtwoordmanager uit naar alle platformen

Google heeft verbeteringen doorgevoerd in de Chrome-wachtwoordmanager. Zo wordt het mogelijk om op alle platformen eigenhandig inloggegevens in te voeren, gesuggereerde wachtwoorden in te stellen en meldingen te zien van gehackte of zwakke wachtwoorden.

Google heeft ook het ontwerp van de Chrome-wachtwoordmanager op de schop genomen, waardoor de gebruikersinterface tussen de desktopversie en de versie op Android beter op elkaar afgestemd zou moeten zijn. Het bedrijf zorgt er ook voor dat verschillende inloggegevens van een en dezelfde site voortaan automatisch gegroepeerd worden zodat ze eenvoudiger terug te vinden zijn. Om nog sneller toegang te geven tot de wachtwoordmanager, heeft Google enkele weken geleden ook al een snelkoppeling naar de wachtwoordmanager geïntroduceerd die op de Android-homepagina kan gezet worden.

Het wordt voortaan op alle platformen waar de Chrome-wachtwoordmanager op te vinden is, mogelijk om eigenhandig inloggegevens toe te voegen en om suggesties voor sterke wachtwoorden te ontvangen. Het bedrijf breidt zijn Password Checkup-functionaliteit ook uit zodat gebruikers van alle platformen een melding krijgen wanneer een wachtwoord gehackt is, zwak is of al eerder gebruikt is. Android-gebruikers kunnen weldra inloggen op een website via Touch-to-Login. Dat is een overlay die op het scherm verschijnt waarmee via één aanraking op een knop ingelogd kan worden.

Reacties (34)

kwetterpletter 30 juni 2022 19:50

Chrome versleutelt wachtwoorden niet met een extra wachtwoord zoals Firefox dat bijvoorbeeld wel doet. Ik vraag me dus af hoe veilig mijn wachtwoorden bij Google dan zijn.

tja @kwetterpletter • 30 juni 2022 20:00

goeie vraag, dat vraag ik me ook al een tijdje af. ik vraag me af of een een commerciele wachtwoord manager iets toevoegd tov build in versie.

Stukfruit @tja • 30 juni 2022 20:56

Heel veel (bv het geven of wegnemen van gebruiksrechten), maar als consument kan ik me voorstellen dat dit prima is.

Voor mij is dat extra wachtwoord trouwens eigenlijk niet eens een relevante vraag. Ik ga me er sowieso niet aan wagen om op deze manier extra afhankelijk te worden van Google.

army @Stukfruit • 30 juni 2022 22:13

Commerciele wachtwoord managers zoals Lastpass, Dashlane, OnePass, Bitwarden, etc voegen voor de mensen thuis niets toe tenzij je wachtwoorden wilt delen of bepaalde documenten "beveiligd" wilt opslaan. De reden dat mensen denken dat het veiliger is omdat het niet Google is en 2FA heeft, maar dat laatste slaat alleen op de webdiensten waar je moet authenticeren. Zodra de sync gedaan is kan je met alleen een master password de file weer unlocken en dat gaat tegenwoordig redelijk vlot. Aangezien voldoende mensen daar ook hun recovery-codes en OTP-keys in opslaan is het echt feest soms als z'n file open maakt.

Google Passwords is niet meer de oude in browser oplossing van vroeger. Op oa Android en Chrome OS, en ook iOS dacht ik dat de secure enclave wordt aangesproken voor de opslag. Daarbij elke extensie cq plugin die niet meekijkt in de DOM van webpagina's of als hook wordt gestart om bepaalde input te doen kan ik alleen maar toejuichen. Zeker als je kijkt naar hoeveel mensen auto-update van apps uit hebben staan.

Als je kijkt naar Apple, Microsoft en Google dan leveren ze voor de consument een best fatsoenlijk en veilige oplossing voor password management. De vraag komt dan ook wat welke meerwaarde er nog is voor third-party password managers. Op een paar uitzondering na zal het weinig zijn en komt de vraag meer of je die kosten niet gewoon beter kan uitgeven aan een Yubi-key bijvoorbeeld als alternatieve methode van authenticatie.

Als we kijken waar identity en authentication management voor consumenten heen gaat dan zal inloggen met je Apple/Microsoft/Google account alleen maar toenemen in de komende periode. Hiermee neemt ook de noodzaak van wachtwoorden af. Als je kijkt naar oa het prijsmodel van Lastpass dan moeten ze al kunstgrepen doen om hun inkomsten op peil te houden.

Sito @army • 30 juni 2022 23:22

Je stelling dat ‘commerciële’ password managers, afgezien van edge cases, niks toevoegen vind ik erg kort door de bocht.

Zelf draai ik thuis Vaultwarden (self-hosted versie van Bitwarden) en merk wel degelijk voordelen. Zo ben ik niet aan een browser of OS gebonden voor password management. De integratie in iedere desktop browser en op mobiele devices is gewoon goed. Daarnaast is de security gewoon goed: Vaultwarden ondersteund 2FA om in de kluis te komen, wat zeker aan te raden is.

Verder zit ik juist niét te wachten om overal maar in te loggen met mijn Google/Microsoft/Apple account. Ik maak heel bewust overal losse accounts, omdat deze bedrijven er helaas niet voor terugdeinzen om zonder fatsoenlijke reden je account te sluiten. Helaas genoeg verhalen over te vinden, ook op Tweakers.

Wel ben ik het met je eens dat je 2FA -codes voor websites/apps juist niet niet een password manager moet koppelen. Dat gaat voorbij aan het hele idee van 2FA: is iemand in je kluis ingebroken, heeft hij gelijk je wachtwoord én 2FA code.

darkjeric

@Sito • 1 juli 2022 00:36

Sla je wachtwoorden onvolledig op door zelf nog een gemakkelijk te onthouden stukje aan elk gegenereerd wachtwoord toe te voegen buiten je database om, en je hebt de beste combinatie van de twee

Rob Coops @darkjeric • 1 juli 2022 08:13

Een salt ja dat soort dingen zijn nog nooit verslagen... Ook is het nog al lastig om te doen omdat je password manager steeds het "nieuwe" wachtwoord met de salt op wil slaan en je dus extra handelingen moet uitvoeren bij het inloggen.

Ik denk dat het nuttig is om eerst eens een tijdje gebruik te maken van dit soort oplossingen voor je met verbeteringen aan komt zetten. Het is helaas net even lastiger dan het misschien lijkt om de huidige stand van relatief veilige wachtwoord opslag echt te verbeteren zonder dat je het de gebruiker lastig maakt voor een heel kleine winst in veiligheid.
Een van de meest onveilige dingen die je kan doen is het een gebruiker lastig maken de veilige opslag te gebruiken. Gebruikers gebruiken de veilige opslag dan gewoon niet en schakelen over op een andere oplossing die minder veilig maar veel belangrijker minder lastig is. Er is een reden dat zo veel mensen het zelfde wachtwoord voor iedere site gebruiken en dat wachtwoord nog beangstigend vaak password123 is... het is makkelijker en dat is voor de meeste belangrijker dan veiliger.

darkjeric

@Rob Coops • 1 juli 2022 09:50

Klopt, al is dat exact de reden waarom ik mijn TOTP-codes liever integreer in Bitwarden. Door het extra gemak gebruik ik het nu gewoon standaard overal waar het mogelijk is. 2FA is sowieso veiliger dan geen 2FA.

Bij Bitwarden kan je trouwens de update-functie uitschakelen, dus bij mij komt de pop-up van het "nieuwe" wachtwoord (omdat hij de salt niet kent) eigenlijk nooit meer op. Alleen moet je dan je werkwijze bij het aanmaken van een nieuwe account omdraaien: Eerst toevoegen in Bitwarden, daarna die gegevens invullen bij het aanmaken van een nieuw account.

Dat het op deze manier zeker doenbaar is, zag ik bewezen omdat zowel mijn vriendin als mijn vader allebei op deze werkwijze zijn overgestapt en dat best makkelijk vonden. Beide zijn niet echt "IT-experts".

De reden van hetzelfde wachtwoord overal en dan nog een makkelijk te kraken, is wat mij betreft vooral omdat heel veel mensen gewoon niet weten dat tools als Bitwarden bestaan. De meeste die ik al zover heb gekregen om een wachtwoordmanager te gebruiken vinden het vaak veel makkelijker dan altijd handmatig te moeten typen.

[Reactie gewijzigd door darkjeric op 23 juli 2024 07:49]

Rob Coops @Sito • 1 juli 2022 08:04

Helemaal waar van uit het oogpunt van een technisch sterke gebruiker... Maar als ik mijn ouders bijvoorbeeld zo iets als vaultwarden/bitwarden zou voorstellen dan kan ik je met 100% zekerheid zeggen dat ze het prachtig vinden maar er nooit gebruik van maken omdat het te ingewikkeld is. Zeker een lokale opslag is af te raden omdat de kans dat waar die vault dan ook draait morgen en volgende maand ook nog werkt en niet per ongeluk uit is gezet "stuk is gegaan" of gewoon verwijderd is veel te groot is.

2FA is standaard verplicht voor alle Google/Apple/Microsoft accounts en de kans dat mijn ouders dat niet aanzetten omdat het zo lastig is is dus niet aanwezig. Ook is er het grote voordeel dat ze automatisch ingelogd zijn op hun devices dus is de barriere voor gebruik niet meer aanwezig.

Met andere worden voor een hobbyist of iemand met diepere kennis is een commerciele oplossing misschien leuk voor persoonlijk gebruik, voor bedrijfsmatig gebruik is het ook zeker aan te raden omdat wachtwoorden en andere veel makkelijker veilig te delen zijn bijvoorbeeld.
Maar voor de gewone consument die totaal geen interesse heeft in de achterliggende techniek en de functionaliteit van de commerciele oplossingen niet nodig heeft is de browser versie heel erg veel beter dan geen wachtwoord manager.

Bauknecht @Sito • 1 juli 2022 11:01

Indien je je OTP-codes nu bewaart in BitWarden (ik pleit schuldig, niet elke site ondersteunt YubiKey of WebAuthn) én BitWarden is met 2FA-beveiligd, heb je dan geen 2FA in the end? Uiteindelijk heb je nog steeds een fysieke YubiKey én een complex wachtwoord nodig om via mijn BitWarden-kluis aan sommige sites te kunnen. Neen?

Zebby @Sito • 4 juli 2022 10:05

Ik blijf dit gevaarlijk advies vinden. Jouw thuis server gaat nooit de beschermingsniveaus halen van de grote partijen. En ook al is het nu nog niet gevaarlijk als de wachtwoorden database lekt, dat blijft natuurlijk niet voor altijd zo.

honey @army • 1 juli 2022 15:21

Eén van de belangrijkste redenen om een aparte wachtwoordmanager te gebruiken is overzichtelijkheid. Ik heb duidelijk overzicht van alle accounts en wachtwoorden. Als ik gebruik maak van 2 of 3 webbrowsers en daarin ook dingen worden opgeslagen, verlies je al snel je overzicht en raak je gegevens kwijt.

venqwish @kwetterpletter • 30 juni 2022 20:40

Hm? Ik moet toch wel degelijk een wachtwoord opgeven om mijn wachtwoorden te kunnen syncen en decrypten. Als dat niet lukt moet ik van nul beginnen. Misschien heb ik het ooit eens moeten instellen, maar het kan wel degelijk.

army @venqwish • 30 juni 2022 22:21

Ja, dat is de local store en de vraag is hoe lang daar nog ondersteuning voor is aangezien deze deprecated zou moeten zijn

hcQd @kwetterpletter • 30 juni 2022 20:00

Onder Windows wordt DPAPI gebruikt, onder Linux/MacOS staat het (willekeurig gegenereerde) master password in de keychain. Het effect is dat alleen als je ingelogd bent Chrome toegang heeft tot je opgeslagen inloggegevens.

Jukebox @kwetterpletter • 30 juni 2022 20:35

Sowieso uiterst verstandig om MFA op je Google account te zetten als je dit gebruikt

Rob Coops @kwetterpletter • 1 juli 2022 07:52

Een aantal kleine puntjes.
Google wachtwoord manager vereist een Google account en dus een wachtwoord met 2fa voor iedereen. Firefox vereist een wachtwoord zonder 2fa (voor zo ver ik weet, gebruik het al erg lang niet meer, het kan vast ingeschakeled worden tegenwoordig maar is het ook verplicht?). Dus het verhaal gaat niet helemaal op. Ja helemaal waar Google Chrome maakt het heel makkelijk om ingelogd te zijn en blijven via de browser omdat ze op deze manier centjes verdienen, Firefox maakt het allemaal wat moeilijker.
Ook kun je je de vraag stellen of een wachtwoord nu wel zo veilig is voor de toegang tot al je wachtwoorden, zeker als je het met regelmaat moet invullen maakt het je wachtwoorden eerder minder veilig omdat de kans dat iemand mee kijkt en je wachtwoord ziet nu eenmaal een stuk groter is.

Google gebruikt wel degelijk versleuteling alleen zie je dat als gebruiker niet omdat je automatisch bent ingelogd en dus niet steeds opnieuw je sleutel in hoeft te voeren.

[Reactie gewijzigd door Rob Coops op 23 juli 2024 07:49]

beerse @Rob Coops • 1 juli 2022 09:39

De 2fa van google en van firefox zijn allen optioneel. bij google moet je alleen wat meer je best doen om de 2fa uit te zetten. Aan de andere kant, de 2e factor is bij google veel sneller (en vaak automatisch) het apparaat waar je al op werkt waardoor je bij google minder snel 'last' hebt van 2fa.

Over de vraag over de veiligheid van wachtwoorden en zo: Alle toegangsbeveiliging is te doorbreken. Alle beveiligingen zijn te verbeteren. De 2fa en nog beter mfa kunnen worden opgebouwd uit alle types beveiliging. Ieder gebruikt type beveiliging is voor mfa veilig genoeg, als het maar wordt gecombineerd met een ander type beveiliging.

Voor de mfa: Ja, 2fa is een vorm van mfa. Maar mijn idee van mfa is dat er meer zijn en dat er per login actie wordt gekozen uit een aantal van de ingestelde toegangen.

Luchtbakker @kwetterpletter • 30 juni 2022 21:21

Er zijn tig tools waarmee je een export kan maken van de huidige passwords in chrome. En wat je met een simpele tool kan, kan malware dus ook. Kortom; totaal niet veilig.

Zebby @kwetterpletter • 4 juli 2022 10:05

Dat is gekoppeld aan je Google account, dus als je daar MFA aan hebt staan is dat vergelijkbaar.

Hee_Martijn 30 juni 2022 21:15

Kun je in deze ‘Google wachtwoord kluis’ dan ook je 2fa code zetten? Bij de andere grote wachtwoord kluizen kan dat wel, maar dat zou betekenen dat deze kluis dan een concurrent is van de Google authenticator app.

telskamp @Hee_Martijn • 30 juni 2022 21:19

Ik moet inloggen in Chrome met mijn google password en 2fa, dan mijn sync wachtwoord, dan tel ik al 3 factoren en dan om een wachtwoord te kopieren/zien nog mijn Windows of android pincode

Broodkast98 @Hee_Martijn • 1 juli 2022 08:50

Wat @Sito ook zegt onderin zijn reactie op @army . Het is onverstandig om dit te doen. Koppel niet je 2FA code aan je wachtwoord, dan hebben kwaadwillende namelijk direct alles in een keer wat ze nodig hebben om in te loggen.

Wel ben ik het met je eens dat je 2FA -codes voor websites/apps juist niet niet een password manager moet koppelen. Dat gaat voorbij aan het hele idee van 2FA: is iemand in je kluis ingebroken, heeft hij gelijk je wachtwoord én 2FA code.

Largamelion 30 juni 2022 21:29

Ik verschoot toch tijdje terug dat ik gewoon m'n opgeslagen wachtwoorden in Chrome kon zien zonder dat ik om MFA werd gevraagd, ook al is dat ingeschakeld op m'n Google account. Ingelogd zijn in Chrome is blijkbaar voldoende en ik heb het net gecheckt en het is nog steeds zo. M'n kinderen kunnen dus probleemloos m'n wachtwoorden uitlezen op m'n pc als ze dat willen of ik moet voor iedereen een aparte account maken in Windows. Of als ik op het werk even van m'n bureau ga en m'n pc vergeet te vergrendelen kan er zo maar iemand even al m'n wachtwoorden uitlezen die opgeslagen zijn in Chrome... Ik vind ook geen enkele optie om dat te beveiligen.

Het zou op z'n minst toch vereist moeten zijn om opnieuw in te loggen met MFA wanneer je die wachtwoorden wil uitlezen!

GORby @Largamelion • 1 juli 2022 00:25

Onder Windows moet ik voor ik mijn wachtwoorden kan zien eerst mijn PIN/password ingeven van mijn Windows account, op mijn Android telefoon moet ik mij ook authenticeren met mijn vinger om de paswoorden te tonen.

Largamelion @GORby • 1 juli 2022 11:06

En zo hoort het te zijn, maar in Chrome hoeft dat dus niet als je ingelogd bent, onbegrijpelijk imo...

GORby @Largamelion • 1 juli 2022 15:40

Ik had het er niet duidelijk bij gezet, maar zo werkt het dus bij mij in Chrome ook. Zonder authenticatie krijg ik geen paswoorden te zien, ook al ben ik ingelogd in chrome.

Largamelion @GORby • 2 juli 2022 15:32

Klopt, ik heb het gisteren nog getest op een pc die wel beveiligd is met 'n wachtwoord en daar moet ik idd m'n Windows wachtwoord ingeven.

Antiloop @Largamelion • 1 juli 2022 09:14

heb je uberhaupt een wachtwoord op je windows user account zitten?
anders heb je de achterdeur natuurlijk al openstaan

Largamelion @Antiloop • 1 juli 2022 11:12

Heb ik overal behalve op de laptop die ik als mediaplayer gebruik voor m'n tv. Die zit vast in het tv meubel en daar hangt geen keyboard aan. Mijn kinderen gebruiken die ook om YouTube te kijken op tv (ja ik heb nog een domme tv). Hun Google accounts zijn gekoppeld zodat we makkelijk van profiel kunnen switchen maar dat houdt dus in dat ze zonder meer mijn paswoorden kunnen uitlezen. Gelukkig zijn ze nu nog te jong om dat te vinden maar dat zal niet lang meer duren.

Dringend tijd om m'n paswoorden anders te bewaren dus.

beerse @Largamelion • 1 juli 2022 09:44

Dat zien van je wachtwoorden gebruikt onder water de key en/of handshake of zo van je chrome browser. Je was ongetwijfeld via chrome al ingelogd bij google dus kan jij wel bij je wachtwoorden.

Als je met firefox (of een andere niet-chromium browser) naar die zelfde web-locatie gaat, liefst in de zelfde route, dan zal je zien/merken dat er wat meer om toegang gevraagd wordt.

Largamelion @beerse • 1 juli 2022 11:05

Ik vind het desondanks ik ingelogd ben in Chrome nog steeds idioot dat ik me niet opnieuw moet authenticeren om de paswoorden uit te kunnen lezen, dat is gewoon slechte beveiliging imo.

Als je op een of andere manier toegang krijgt tot iemand zijn pc, kan je gewoon al zijn wachtwoorden uitlezen. Als ik er aan denk hoeveel keer iemand bij ons op het werk VNC bijvoorbeeld vergeet uit te zetten nadat de helpdesk hen geassisteerd heeft... en dat paswoord van VNC kent zowat iedereen

. Pc's vergrendelen ook pas automatisch na 10 min inactiviteit, dus dan heb je ruim de tijd om met een simpele afleiding iemand z'n paswoorden te stelen.

Ik ga toch maar eens kijken om al m'n wachtwoorden uit Chrome te wissen en een andere oplossing te zoeken.

beerse @Largamelion • 1 juli 2022 11:21

Niet om het een of ander maar bij FireFox kan je met een masterpassword aangeven of je elke keer bij gebruik een wachtwoord moet opgeven of niet.

Bij chromium kan ik wel in 1 keer naar de lijst met accounts/wachtwoorden maar de wachtwoorden krijg ik pas te zien met een vingerprint, pincode of wachtwoord, overigens dat van het lokale msWindows systeem, niet het google wachtwoord.

RAAF12 1 juli 2022 01:42

resem is een woord wat onbekend is boven de grote rivieren.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (34)

Sorteer op:

Weergave: