Een beveiligingsonderzoeker die vrijdag een onderzoek over de beveiliging van wachtwoordopslag in verschillende browsers heeft gepubliceerd, is tot de conclusie gekomen dat dit onder de maat gebeurt.
Met name Google Chrome en Apple Safari scoorden laag, zo meent de onderzoeker van Chapin Information Services. "Safari en Chrome maken gebruik van de slechtste wachtwoordbeheerder gebouwd in een bekende webbrowser," aldus Robert Chapin, directeur van CIS, in zijn rapport over de beveiligingscontroles in wachtwoordopslag.
Twee jaar geleden meldde Chapin nog een ernstige bug in de wachtwoordbeheerder van Mozilla Firefox, die de beoordeling kritiek ontving van Mozilla-ontwikkelaars. Deze fout werd uitgebuit door aanvallers die een neppe MySpace-aanmeldpagina hadden opgezet om inloggegevens te stelen.
Mozilla Firefox heeft sindsdien veel gedaan om het opslaan van wachtwoorden beter te beveiligen. Echter zijn er nog altijd andere waarbij dat niet is gebeurd. "Zou iedereen impliciet zijn wachtwoordbeheerder honderd procent moeten vertrouwen?," vroeg hij in een interview. "Absoluut niet."
Een groot probleem in de huidige wachtwoordbeheerders is dat zij om de tuin geleid kunnen worden om zo wachtwoorden en gebruikersnamen in andere delen van een website in te vullen. Dat is precies wat er gebeurde bij de MySpace-aanval, er werd een nepwachtwoordveld aangemaakt. Hierdoor werd de aanmeldinformatie automatisch ingevuld in zowel het legitieme als het valse veld. Safari en Chrome zijn hier vatbaar voor.
Een ander probleem is dat sommige browsers wachtwoorden naar meerdere domeinen sturen zonder de gebruiker hiervan op de hoogte te stellen. Dat komt omdat browserfabrikanten ervan uitgaan dat de wachtwoordpagina legitiem is, zelfs al wordt het wachtwoord naar een ander domein verstuurd.
Robert Hansen, CEO van webbeveiligingsconsultancy SecTheory, heeft laten weten dat de beveiligingscommunity al enkele jaren weet dat de wachtwoordbeheerders onveilig zijn. Dit is vooral zo gekomen omdat browsers vatbaar zijn voor veel verschillende aanvallen.
"Wachtwoordbeheerders zijn niet een goed idee vanuit een veiligheidsperspectief zodra ze geïntegreerd worden in de browser," vertelt hij. "De browser zelf is niet ontworpen om exploits te stoppen die wachtwoorden stelen. Zonder die exploits zouden cracks voor de wachtwoordbeheerders niet werken."
10 uur geleden
