Brave is een populaire browser onder tweakers, vooral vanwege de ingebouwde veiligheidsfeatures en functies als privacyvriendelijke newsreaders en de zoekmachine. Brave heeft daarnaast zijn eigen wachtwoordmanager, maar helaas kunnen we daar niet zoveel over vertellen. Er is een opvallend gebrek aan technische uitleg of aan documentatie in het algemeen. Daardoor is het moeilijk te zeggen hoe veilig de dienst wel of niet is.
/i/2004529442.png?f=imagenormal)
De software
Gebruikers van Brave kunnen via brave://settings/passwords de optie vinden om wachtwoorden op te slaan in de browser. Ook is het mogelijk om automatisch in te loggen op websites als de wachtwoorden daarvan zijn opgeslagen. Dat is een handige toevoeging ten opzichte van andere browserwachtwoordmanagers.
Brave maakt gebruik van slimme marketing door een Brave-account aan te prijzen als een Sync Chain. Je kunt wachtwoorden samen met andere dingen, zoals favorieten en geschiedenis, synchroniseren met andere apparaten door die apparaten 'toe te voegen aan de Sync Chain'. Vergis je niet; dat betekent gewoon dat de wachtwoorden via servers van Brave worden verdeeld. In plaats van een masteraccount met een gebruikersnaam en wachtwoord koppel je apparaten aan elkaar door QR-codes te scannen of strings met willekeurige woorden in te typen. Dat betekent niet dat apparaten aan elkaar worden gekoppeld zoals bijvoorbeeld WhatsApp dat doet. Brave zit er als derde partij nog steeds tussen.
Hoe kun je de software beveiligen?
Het is niet mogelijk de Brave-browser te vergrendelen. Gebruikers vragen daar wel al jaren om. Ook de mobiele apps kun je niet vergrendelen met een pincode of vingerafdruk. Brave heeft evenmin een masterwachtwoord om je lokale wachtwoorden te vergrendelen. Iemand met toegang tot je computer kan dus relatief simpel bij je wachtwoorden.
Wat voor wachtwoorden kun je aanmaken?
Een van de frustrerendste dingen aan Braves wachtwoordmanager is dat die geen ingebouwde generator heeft. Extra frustrerend is dat Chromium die wel gewoon heeft, dus is er eigenlijk geen reden voor Brave om geen generator in te bouwen. Je kunt dus bij het registreren voor een account geen voorstel vragen voor een willekeurig wachtwoord. Dat is niet alleen irritant in het gebruik, maar je kunt ook beargumenteren dat dat de browser een stuk onveiliger maakt. Zonder generator gaan gebruikers hun eigen wachtwoorden bedenken, ofwel hergebruiken.
Er staat al sinds 2019 een issue open op GitHub, maar de makers lijken daar weinig aandacht aan te besteden. Er zijn voor zover bekend geen plannen een generator in Brave in te bouwen.
/i/2004529444.png?f=imagenormal)
Kun je wachtwoorden makkelijk delen?
Het is niet mogelijk wachtwoorden te delen met andere gebruikers.
Kun je wachtwoorden im- en exporteren?
Je kunt wachtwoorden in Brave zowel im- als exporteren. De opties zijn voor beide wat beperkt, want dat kan alleen in csv-formaat. In de export staan ook alleen de credentials en geen informatie zoals de laatste inlog.
Wat weten we over de beveiliging van Brave?
Er is niet zo heel veel bekend over de beveiliging van Braves wachtwoordmanager, althans niet over de manier waarop wachtwoorden lokaal worden opgeslagen in de browser. Het is niet bekend of die versleuteld worden en zo ja, met welke soort encryptie dat gebeurt of welke hashalgoritmes worden ingezet.
Over de beveiliging van Braves wachtwoordmanager is niet zoveel bekend
Wel heeft Brave geschreven over de beveiliging van Sync. Dat beschrijft vooral het authenticatieprotocol van de Sync Chain zelf. De opslag van onder andere wachtwoorden komt er niet aan bod. Een Sync Chain wordt gegenereerd met een seed van 32bit, maar het is niet bekend hoe die seed wordt gemaakt. Vervolgens wordt daarvan met BIP39 een string met willekeurige woorden afgeleid die je kunt gebruiken om andere apparaten te koppelen. Volgens Brave worden wachtwoorden in ieder geval lokaal versleuteld met een BIP39-phrase als de gebruiker Sync gebruikt, maar het is dus niet duidelijk of dat ook gebeurt zónder Sync. Brave verwijst naar Chromiums custom passphrase-functie, die het gebruikt voor de verdere versleuteling. Daarbij wordt de functie scrypt gebruikt voor de sleutelderivatie en wordt een AES-128-CTR-HMAC-sleutel aangemaakt.
Dat geldt allemaal alleen voor het wachtwoord. Andere informatie die daarbij hoort, waaronder de apparaatnaam, het -type, id's en aanmaaktijden, worden wel in plaintext meegestuurd naar de Brave-servers.
Zijn er audits beschikbaar en wat weten we daarvan?
Brave heeft nog nooit een onafhankelijke securityaudit laten uitvoeren. Wel is de broncode van de browser als open source beschikbaar, zodat gebruikers daar kwetsbaarheden uit kunnen halen.
Welke vormen van tweestapsverificatie zijn mogelijk?
Je kunt op het gebied van 2fa niet veel met Brave. De Sync Chain is anders dan een normaal account omdat je geen credentials gebruikt. Daarom is 2fa ook geen optie. De manier waarop je andere apparaten koppelt aan een Sync Chain is wel veiliger dan alleen een combinatie van e-mailadres+wachtwoord. Je moet er een qr-code voor scannen of een lange string met willekeurige woorden voor overtypen. Een 'account' overnemen is dus niet zo moeilijk, maar dat is wel de enige beveiliging die je hebt.
Exports van wachtwoorden zijn wel extra beveiligd. Je moet vóór een export nog het wachtwoord van je desktop opgeven. Ook dat is een extra stukje beveiliging.
Heeft Brave een bugbountyprogramma?
Naast open broncode heeft Brave een eigen bugbountyprogramma via HackerOne. Beloningen liggen relatief laag: tussen de honderd en duizend dollar. Er staat in de regels van het programma niets specifiek over de wachtwoordmanager. Brave verwijst zelf ook naar zijn eigen issuetracker, waarin potentiële problemen worden aangekaart.
Kun je zelf de vorm van versleuteling kiezen?
Je kunt niets wijzigen aan de manier waarop Brave wachtwoorden versleutelt. Ook het aantal iteraties is niet in te stellen. Daarin verschilt Brave niet van de andere browsermanagers. Daarbij kan dat ook niet.
Controleert Brave op zwakke en gestolen wachtwoorden?
Brave is de enige browser die we in dit artikel behandelen, die niet kan controleren of wachtwoorden uitgelekt zijn. Brave heeft geen integratie met Have I Been Pwned of een andere datalekdatabase.
Waar wordt data opgeslagen?
Het is niet bekend waar Brave de versleutelde wachtwoorden opslaat. Het bedrijf verwijst daar in het privacybeleid niet naar. Het heeft het daar wel over 'de cloudprovider' en noemt in de Sync-documentatie AWS. Misschien zijn de wachtwoorden ergens in S3-buckets opgeslagen, maar dat is dus niet duidelijk. Er lijkt daarnaast voor gebruikers geen voor de hand liggende mogelijkheid te zijn om de serverlocatie te wijzigen.
:strip_icc():strip_exif()/i/2004432442.jpeg?f=fpa_thumb)
/i/2004323840.png?f=fpa_thumb)
/i/2004845510.png?f=fpa)
/i/2004857332.png?f=fpa)
/i/2004647002.png?f=fpa)
/i/2004790848.png?f=fpa)
:strip_exif()/i/2004668670.jpeg?f=fpa)
:strip_exif()/i/2001720959.jpeg?f=fpa)
/i/2000902263.png?f=fpa)
/i/2001841111.png?f=fpa)