2min

Vandaag werden we op een blog van Elliottkember gewezen, waarin valt te lezen dat het wachtwoordbeheer van de Chrome-browser en Chrome OS een wassen neus is. Na zelf wat onderzoek gedaan te hebben bleek dat ook Firefox over dezelfde wassenneusbeveiliging beschikt. Gelukkig kunnen we melden dat het bij Internet Explorer en Safari beter is geregeld.

Alle browsers vragen tegenwoordig, als je ergens een gebruikersnaam en wachtwoord invult, of ze dit wachtwoord moeten opslaan op de computer, zodat je het in de toekomst niet opnieuw hoeft in te vullen. Als je dan terugkomt op een website, dan zie je je gebruikersnaam en sterretjes staan (*****) en kan je direct inloggen. Dat is natuurlijk heel handig, maar waar je als gebruiker niet op rekent, is dat dezelfde browser een optie heeft om die sterretjes terug te converteren naar je wachtwoord via een paar simpele muisklikken.

Dat is in het geval van Chrome en Firefox helaas wel het geval. Beide browsers bieden een ingebouwde optie om een lijst op te vragen met alle websites waarvoor wachtwoorden zijn bewaard met daarbij een heel mooie knop "Toon wachtwoord(en)". Als op die knop wordt gedrukt, worden direct alle wachtwoorden omgezet naar tekst. Als iemand zijn computer even onbeheerd achterlaat, is het dus mogelijk om binnen één minuut alle opgeslagen wachtwoorden te achterhalen. We hebben dit bij zowel Chrome als Firefox getest in Windows en in Mac OS X, bij beide besturingssystemen zijn de wachtwoorden eenvoudig te achterhalen. In Chrome moet de gebruiker in adresbalk chrome://settings/passwords intypen en bij Firefox moet gewoon het optiesvenster geopend worden en vervolgens het tabblad Beveiliging. Firefox biedt overigens wel de mogelijkheid om een hoofdwachtwoord in te stellen voordat de gegevens kunnen worden bekeken, maar deze optie is standaard uitgeschakeld en zal door de meeste gebruikers dan ook niet worden gebruikt.

Safari biedt in Mac OS X ook de optie om een lijst met websites in te zien waarvoor wachtwoorden zijn opgeslagen en biedt ook de optie om het wachtwoord te tonen. Safari hier echter nog wel een beveiliging tussen zitten, voordat de wachtwoorden worden getoond moet eerst opnieuw het systeemwachtwoord worden ingevuld waarmee de gebruiker is ingelogd op de computer. Zonder dat systeemwachtwoord worden er geen wachtwoorden getoond. Dat is een prima oplossing van Safari, maar het is dan jammer dat Chrome de optie biedt om de wachtwoorden van Safari te importeren waardoor ze nog steeds zijn uit te lezen.

Ook hebben we op Windows gekeken hoe het met de beveiliging is gesteld en Internet Explorer biedt geen optie om de opgeslagen websites en wachtwoorden in te zien. Wel zijn er programma’s beschikbaar die geïnstalleerd kunnen worden op een Windows-computer om de opslagen websites inclusief gebruikersnamen en wachtwoorden te achterhalen. Dat is natuurlijk ook niet best, maar daarvoor moet duidelijk meer moeite gedaan worden dan bij Chrome en Firefox. Ook is het zo dat op bedrijfscomputers vaak niets geïnstalleerd kan worden door de gebruiker.

Via: Bastiaan Vroegop.