Googles Safety Check-functie draait automatisch op achtergrond in Chrome

De Safety Check-functie, die nagaat of het wachtwoord van de gebruiker is gecompromitteerd, draait nu automatisch op de achtergrond in de desktopversie van Chrome. Daarnaast trekt de functie de rechten van sites in die door de gebruiker lang niet zijn bezocht.

Als een wachtwoord is gelekt, dan krijgt de gebruiker voortaan een waarschuwing te zien in het menu van Chrome, schrijft Google donderdag. Ook wordt de gebruiker gewaarschuwd bij 'mogelijk schadelijke extensies' of wanneer hij gebruikmaakt van een verouderde versie van Chrome.

Bij sites die de gebruiker al een langere tijd niet heeft bezocht, krijgt de gebruiker tevens een melding om opnieuw te kijken naar de rechten. Chrome kan in zo'n geval zelfs de rechten intrekken van de site, bijvoorbeeld als deze ooit toestemming heeft gekregen om gebruik te maken van de microfoon of toegang tot de locatie van de gebruiker.

Verder gaat Google in de komende weken een nieuwe tabbladfunctie uitrollen, die de gebruiker tabbladgroepen laat opslaan. Die opgeslagen groepen kunnen worden geopend in de Chrome-browser op andere desktops.

Reacties (42)

JDx 22 december 2023 08:42

Ik kreeg laatst ook een melding van een website dat mijn wachtwoord voor komt in een datalek.

Moest meteen een nieuw wachtwoord aanmaken, moet je echt goed kijken of dat echt is!

PCG2020 @JDx • 22 december 2023 08:52

Eventueel kun je een datalek verifiëren op haveibeenpwned.com, voor als je denkt dat zo'n melding toch niet helemaal in de haak is.

Martin.Air @PCG2020 • 22 december 2023 08:54

Niet een hele goede oplossing, aangezien het een niet het ander ontkracht.

Je gegevens kunnen prima gelekt zijn terwijl er een poging is om je account over te nemen. Bijvoorbeeld om 2FA te omzeilen.

PCG2020 @Martin.Air • 22 december 2023 12:53

Klopt, daarom zeg ik ook 'eventueel'. Haveibeenpwned's overzicht is niet volledig. Sowieso is het verstandig om bij een datalekmelding je wachtwoord te wijzigen.

bzzzt @PCG2020 • 22 december 2023 09:24

Succes als je denkt dat dat een oplossing is voor niet technische mensen.
Hier gaan weer veel mensen in trappen.

PCG2020 @bzzzt • 22 december 2023 12:48

Hoezo, '[geen oplossing voor] niet-technische mensen'? Op die website vul je je e-mailadres in en je ziet of het voor komt in een gelekte dataset. Zo ja, dan pas je voor zo'n account je wachtwoord aan. Daar hoef je helemaal geen expert voor te zijn.

Ik beweer niet glashard dat haveibeenpwned een totaaloplossing biedt, want dat is niet zo: ik gebruik niet voor niets het woord 'eventueel'.

bzzzt @PCG2020 • 22 december 2023 16:03

Het punt is dat niet techneuten die hele site niet kennen en ook niet in staat zijn de betrouwbaarheid daarvan in te schatten of de gevolgen van een prompt als "je wachtwoord is gelekt" te overzien.

Veel van dit soort 'oplossingen' zijn uitsluitend geschikt voor mensen die de hele dag op tech nieuwssites zitten en eigenlijk alleen maar contraproductief bij mensen die niks met computers hebben. Die krijgen ineens te horen dat ze een wachtwoord moeten checken en vullen bij wijze van spreken dat op de eerste de beste phishing site in.

rneeft

@JDx • 22 december 2023 09:29

Ik hoop bij het inloggen? Anders zou het wel een beetje eng zijn dat de website je password heeft kunnen terug draaien en dus geen gebruik maakt van hashing

MsG @rneeft • 22 december 2023 11:08

De website kan toch gewoon de gelekte wachtwoordenlijst hashen en vergelijken met de hash? Tweakers heeft dat ook regelmatig gedaan in het verleden.

bazzi

@MsG • 22 december 2023 13:16

Dan ga je er vanuit dat de hashes altijd het zelfde worden berekend met de zelfde uitkomst. Als je bv de php password_hash gebruikt, krijg je elke keer dat je je wachtwoord hashed een andere hash, omdat de salt ook roteert...

MsG @bazzi • 22 december 2023 13:33

Als een website een inlog met een normaal wachtwoord kan omzetten naar een hash, kan het natuurlijk ook een externe dataset met wachtwoorden op die manier omzetten. De per wachtwoord salt maakt het hoogstens moeilijker, maar niet fundamenteel onmogelijk.

De methode die je noemt kan namelijk ook gewoon een salt ontvangen als parameter.

bazzi

@MsG • 22 december 2023 13:38

maar is dat wordt ontraden en zelfs geignored in php8+:

Warning:
The salt option is deprecated. It is now preferred to simply use the salt that is generated by default. As of PHP 8.0.0, an explicitly given salt is ignored.

MsG @bazzi • 22 december 2023 14:24

Het gaat mij er vooral om dat als je de user login tegen de backend aan kan houden, dat je dan natuurlijk even goed een random lijst met wachtwoorden als input kan gebruiken, eventueel per username weer die lijst, als je salts hebt. Als dat onmogelijk zou zijn, zou inloggen door een gebruiker ook onmogelijk zijn.

FrostyPeet 22 december 2023 09:55

Toch heb ik er een dubbel gevoel bij. Dus Google weet de wachtwoorden, ze checken dat bij een of andere "lek" website, indien gelijk dan melding op het scherm.

Vind het een hellend vlak. Ja, het is gemakkelijk. Nee, dit is weer een extra aanvalsvector.

Was beter geweest als het bijvoorbeeld een extensie was, kunnen de gebruikers het zelf beslissen of ze deze service van Google willen.

TD-er

@FrostyPeet • 22 december 2023 10:40

De vraag is, checken ze op basis van het wachtwoord of op basis van het account?
Bijvoorbeeld in samenwerking met zoiets als "have I been pwned".

Martinspire @TD-er • 22 december 2023 11:09

account. Ze gaan geen wachtwoorden doorsturen.

the_stickie @FrostyPeet • 22 december 2023 10:43

Google ‘weet’ de wachtwoorden niet persé.
De checks gebeuren client side en enkel hashes gaan over de lijn.
Google is waarschijnlijk ook helemaal niet geïnteresseerd in je wachtwoord. Voor welke sites je een account hebt, is al veel interessanter.

Dat gezegd zijnde is het wel zo dat een webbrowser tegenwoordig best veel informatie verwerkt. Ontwikkelaars kunnen software ‘alles’ laten doen. Je hebt dus wel een vorm van vertrouwen nodig in de software en z’n maker.

Mitsuko @FrostyPeet • 22 december 2023 10:42

Om te checken of een wachtwoord bekend is uit een datalek of hack sturen ze niet het wachtwoord zelf op, maar een slechts een deel van de hash. Dat betekent een grotere kans op false positives (want je vergelijkt een deel van de hash van jouw wachtwoord met een deel van de hash van gelekte wachtwoorden), maar als het onderschept wordt dan is je wachtwoord nog steeds veilig.

djwice

@FrostyPeet • 22 december 2023 20:08

Ja, niet alleen je wachtwoorden, ook je 2FA via de Authenticator wordt gesynchroniseerd met je Google Account.
Chrome moet je wachtwoord immers kunnen auto-complete-n, dus moet hem voor die functie kunnen ontsleutelen uit je wachtwoord kluis.

JakkoFourEyes 22 december 2023 09:07

Ik hoop dat Chrome dit alleen doet als ik hun wachtwoordmanager gebruik?

beerse @JakkoFourEyes • 22 december 2023 10:39

Misschien op basis van de accounts in de wachtwoord manager, misschien op basis van het gebruikte google account en bijgaande varianten (account+website@gmail.com, a.c.c.o.u.n.t@gmail.com en zo).

Evertprakkie 22 december 2023 09:11

Google probeert op deze manier aardig het vertrouwen te winnen van de mensen, maar met Google ben je gewoon één grote data lek. ze weten alles van je en verkopen alles door aan bedrijven, verzekeringmaatschappijen ook als zij achter je medische gegevens of financiële gegevens kunnen komen.
Daar verdienen ze miljarden mee elk jaar. Mensen onthoud één ding wanneer je een gratis product gebruikt, ben jij het product. Gratis bestaat niet in de computer wereld er moet ergens een verdien model zijn. En dat Google op de achtergrond een veiligheid check doet heeft niets te maken dat het om jou veiligheid gaat maar om het monitoren van jou gegevens legaal te maken. Zoek maar eens op hoe vaak Google boetes krijgt voor het verspreiden en verzamelen van gegevens zonder toestemming.

GurbieV

@Evertprakkie • 22 december 2023 09:15

ze weten alles van je en verkopen alles door aan bedrijven, verzekeringmaatschappijen ook als zij achter je medische gegevens of financiële gegevens kunnen komen.

Dit is al zo vaak genoemd en nooit bewezen. Heb jij daar bewijs voor of is het alleen onderbuik?

DigitalExorcist @GurbieV • 22 december 2023 11:50

cc @Evertprakkie

Dat is natuurlijk onzin en nooit aangetoond. Google gaat z'n heilige graal, jouw data, never nooit verkopen want dan verdienen ze niks meer.

Wat ze wél doen is profielen opstellen en ruimte beschikbaar maken aan adverteerders om jou zo specifiek mogelijk te kunnen targeten op basis van wat de adverteerder zoekt, en wat Google in diens profiel heeft staan. Maar dat is iets heel anders.

Gratis bestaat juist in de computerwereld wel en heet 'open source'.

[Reactie gewijzigd door DigitalExorcist op 23 juli 2024 06:16]

DigitalExorcist @Evertprakkie • 22 december 2023 12:57

Google verkoopt geen data. Is dat zo moeilijk? En ja Google is geen liefdadigheidsinstelling. Er moet geld verdiend worden. Zo werken commerciële bedrijven.

Als ik me dáár ook nog eens druk om zou moeten maken zou ik geen leven meer hebben. Jij zegt dat er in de 'computerwereld' geen 'gratis' bestaat. Maar dat bestaat er wel. Dat er te weinig mensen gebruik van maken is iets ánders. Maar het bestaat prima. Ik vergelijk Google niet met open source, dat maak jij er zelf van

(overigens heeft Google ook flink wat opensource initiatieven en tools gemaakt).

[Reactie gewijzigd door DigitalExorcist op 23 juli 2024 06:16]

djwice

@Evertprakkie • 22 december 2023 20:21

Ik geef regelmatig gratis code weg en gratis hulp aan projecten. Ik lobby zelfs bij grote ondernemingen om bepaalde onderdelen van hun software of bestandsformaat zo aan te passen dat gratis software er zonder licentie en zonder het breken van wetten gebruik van kan maken.

Ik vertel die bedrijven ook hoe ik wil dat de wijziging er uit ziet en waarom ik dat wil.
Het duurt soms een half jaar, soms iets langer, maar de meesten zien brood in breder gebruik van hun bestandsformaat of integraties met hun software.

Ik heb zelfs een producent van CAD software zover gekregen dat ze de wachtwoorden die op hun bestanden zaten hebben verwijderd. Sinds afgelopen november haalt hun software van alle bestanden die het opent en opslaat de sleutel er af.
Dit is puur zodat het CAD bestand legaal direct geopend kan worden in de gratis software van uitvoering: Blender .

Wat krijg ik er voor? Wellicht indirect nog mooiere, creatievere films en animaties, net als de rest van de wereld.
Ik heb er geen geldelijk gewin bij en krijg er ook geen data voor terug.

Dus ja, ook op internet zijn er dingen zonder commercieel belang. Ook mijn websites hebben geen advertenties of affiliate links. Ze kosten me een paar honderd euro per jaar plus wat uurtjes werk. Maar ze staan er omdat ik denk dat anderen er wat aan hebben.
Soms hoor ik iemand op straat, in een cafe, sportclub, kerk of moskee praten over een van mijn websites. Dat het zo handig was. Dat maakt het voor mij weer goed. Ze hoeven niet te weten dat ik er acht zit. Mensen zijn er blij mee, dan is het goed. Mijn kennis is toegepast in die websites zodanig dat anderen er intuïtief toegang toe hebben.

Gek hè dat ik dat gratis doe? Voor mij is het normaal. Zo was heel internet toen ik er mee begon.

[Reactie gewijzigd door djwice op 23 juli 2024 06:16]

Evertprakkie @djwice • 22 december 2023 22:36

Je bent een goed mens, respect

Zer0 @Evertprakkie • 22 december 2023 09:24

ze weten alles van je en verkopen alles door aan bedrijven

Dat mythe blijkt er hardnekkig. Google verkoopt je gegevens niet, ze verkopen gerichte advertenties op basis van jouw gegevens. Als ze de gegevens zouden verkopen dan verliezen ze hun positie op de advertentiemarkt, en zo stom zijn ze niet.

Evertprakkie @Zer0 • 22 december 2023 09:37

Lekker blijven dromen zou ik zeggen. Great American Dream. ze zullen nooit die marktaandeel verliezen want ze hebben daar een vrij aardige monopolie in zie rechtszaken en alle bedrijven zijn er inmiddels afhankelijk van. Maar ze doen veel meer dan alleen advertentie er heerst daar een graai cultuur miljarden verdienen is niet genoeg en als zij op een illegale manier geld kunnen verdienen en zij krijgen er een boete voor, zeg: 10 miljoen verdienen ze nog 5 miljoen omdat wat zij er aan verdiend hebben vele male meer is. En zo werkt het. Begrijp je antwoord maar ondanks alle rechtszaken over privacy schendingen ect neemt hun markt in advertenties alleen maar toe. Denk je dat een zaak waar jij je product koopt kan schelen hoe je op hun site komt, echt niet.

divvid @Evertprakkie • 22 december 2023 12:22

ja, en dan? dan weten ze alles van je. Kunnen ze drie keer niks mee. Omgekeerd kun je via Google Maps history misschien aantonen dat jij elders was mocht je weer een briefje van het CJIB krijgen voor door rood rijden.

divvid @Evertprakkie • 22 december 2023 13:39

Ik denk dat die vlieger niet opgaat bij het CJIB

gelukkig andere ervaringen mee. Het zijn niet allemaal eikels die daar werken.

dat drie keer niks weet je hoeveel geld die info over jou waard is

er is een verschil tussen de info die google weet en dingen die men op het darkweb graag wil weten.

Je kan allerlei zwarte scenarios gaan bedenken, maar vooralsnog is er geen enkel bewijs dat Google data daadwerkelijk gebruikt om mensen schade te berokkenen. En nee Google is voor mij geen heilige graal, integendeel. Ik slaap overigens heerlijk, ook al weet ik dat enkele grote tech bedrijven veel over mij weten.

[Reactie gewijzigd door divvid op 23 juli 2024 06:16]

Evertprakkie @divvid • 22 december 2023 15:40

Ik slaap ook heerlijk zonder Google

Vexxon @Evertprakkie • 22 december 2023 10:02

Daar staat volgens mij niets in over het verkopen van gegevens van gebruikers aan andere bedrijven door Google. Dat is waar het om ging

Zer0 @Evertprakkie • 22 december 2023 10:04

en dingen zeggen die gewoon bewezen feiten zijn

Kom maar op met die bewijzen.. of moet ik die zelf maar zoeken op Google

Ik noem er 1 https://www.ad.nl/tech/co...s%3A%2F%2Fwww.bing.com%2F

De zaak draait om zogeheten advertentieveilingen. Google heeft advertentieruimte op sites, en verkoopt die aan adverteerders. Daardoor krijgen mensen reclameboodschappen te zien als ze een site bezoeken. Het plaatsen van die advertenties gaat volledig geautomatiseerd. Dankzij cookies weet Google dat mensen bijvoorbeeld op zoek zijn naar een wasmachine of een nieuwe auto.
Dat zegt volgens mij exact wat ik zei...

[Reactie gewijzigd door Zer0 op 23 juli 2024 06:16]

DigitalExorcist @Evertprakkie • 22 december 2023 13:06

Sinds wanneer heeft de Consumentenbond überhaupt verstand van digitale zaken? Maar los daarvan staat daar inderdaad nérgens dat het om het 'verkopen van je data gaat'. Want dát Google natuurlijk niet, dan kunnen ze de tent wel sluiten.

Evertprakkie @DigitalExorcist • 22 december 2023 15:47

maar genoeg over Google we komen er toch niet uit, we leven waarschijnlijk in een totaal andere (digitale) wereld. Maar daar heb ik ook wel respect voor het is jou mening en laat je met volle respect in je waarde

DigitalExorcist @Evertprakkie • 22 december 2023 15:52

Bedankt, wederzijds!

Evertprakkie 22 december 2023 15:43

consumentenbond heeft wel degelijk IT experts maar dat hoeft in deze ook niet zij waken over onze privacy en of de regels worden overtreden.

Roel1966

24 december 2023 23:54

Tja ja ja ja, snap wel dat het allemaal om veiligheid gaat maar ik erger mij altijd al aan al die popups en meldingen. Vandaar dat bij mij dan binnen Windows ook zo goed als alle meldingen uitgeschakeld staan als alleen de hoognodige belangrijke meldingen. En ja, Google en veiligheid stel ik toch ook wel een beetje zo mijn vraagtekens bij.

Op dit item kan niet meer gereageerd worden.

Googles Safety Check-functie draait automatisch op achtergrond in Chrome

Lees meer

Reacties (42)

Sorteer op:

Weergave: