Android-gebruikers checken makkelijker of hun wachtwoord veilig is

Abonneer je gratis op Techzine!

De wachtwoord-controle-optie van Google wordt nu geïntegreerd in Android. Hierdoor kun je binnen het besturingssysteem checken of je wachtwoord nog wel echt geheim is. Dat wil zeggen: het wachtwoord wordt naast een lijst met alle gecompromitteerde wachtwoorden gehouden.

Het gaat om een lijst waarin staat welke wachtwoorden er bij grote lekken en hacks op straat zijn komen te liggen. De mogelijkheid heet Password Checkup. Heb je inderdaad een wachtwoord dat bekend is in de rest van de wereld, dan krijg je een melding. Je wordt dan meteen meegenomen naar de wachtwoordpagina van Google, waar je meer kunt leren over je wachtwoord.

Wachtwoord

Password Checkup werd in 2019 geïntroduceerd als losse Chrome-extensie die even later standaard aan de Chrome-browser werd toegevoegd. Het fijne is dat je niet alleen een melding krijgt dat je wachtwoord in verkeerde handen kan zijn, je kunt ook meteen je wachtwoord veranderen op de betreffende pagina.

Tip: Het verschil tussen tweestapsverificatie en multifactorauthenticatie

Password Checkup is op dit moment dus ook binnen Android te gebruiken, als je een apparaat gebruikt op Android 9 en hoger. Je moet hiervoor wel autofill gebruiken, het systeem waarmee je standaard informatie automatisch in webformulieren kunt laden. Denk daarbij aan je adresgegevens, maar dus ook wachtwoorden. Google kan wachtwoorden veilig opslaan door ze van encryptie te voorzien (via Elliptic Curve). Google schrijft erover:

  • Alleen een gecodeerde hash van de inloggegevens verlaat het apparaat (de eerste twee bytes van de hash worden onversleuteld verzonden om de database te partitioneren)
  • De server retourneert een lijst met gecodeerde hashes van bekende geschonden inloggegevens die hetzelfde voorvoegsel delen
    De daadwerkelijke bepaling of de inloggegevens zijn geschonden, gebeurt lokaal op het apparaat van de gebruiker
  • De server (Google) heeft geen toegang tot de niet-versleutelde hash van het wachtwoord van de gebruiker en de client (Gebruiker) heeft geen toegang tot de lijst met niet-versleutelde hashes van mogelijk geschonden inloggegevens

Wil je gebruikmaken van de mogelijkheid voor Android, ga dan naar Instellingen > Systeem > Taal en invoer > Advanced > Autofill. Voor zolang we tenminste nog gebruikmaken van wachtwoorden.

Tip: Passwordless: verdwijnen wachtwoorden of zijn ze een blijvertje?