Onderzoeker: Chrome, Safari Wachtwoordmanagers hebben werk nodig

Google's Chrome- en Apple Safari-browsers kunnen een betere manier zijn om wachtwoorden te beschermen, volgens een beveiligingsonderzoeker die vrijdag een studie van browserwachtwoordbeheerders heeft uitgebracht.

"Safari en Chrome zijn in wezen gebonden aan de slechtste wachtwoordbeheerder die is ingebouwd in een grote webbrowser ", zegt Robert Chapin, president van Chapin Information Services, in zijn rapport waarin werd gekeken naar de soorten beveiligingscontroles die browsers gebruikten om ervoor te zorgen dat ze gebruikersnaam- en wachtwoordinformatie naar legitieme websites stuurden in plaats van slimme hackers.

Twee jaar geleden rapporteerde Chapin een wijdverspreid wachtwoordbeheerfoutje in de Firefox-browser, die door Mozilla-ontwikkelaars als kritiek werd beoordeeld. De bug werd gebruikt door aanvallers op de MySpace.com-website die een valse inlogpagina hadden opgezet om accountinformatie van gebruikers van de sociale netwerksite te stelen.

[Meer informatie: Hoe malware van uw Windows-pc te verwijderen]

Firefox heeft nu veel gedaan om zijn wachtwoordbeheer te verbeteren, maar al deze producten zijn nog verre van perfect, zei Chapin in een interview. "Moet iedereen 100 procent impliciet vertrouwen stellen in elke wachtwoordmanager?" hij vroeg. "Helemaal niet." Een probleem is dat de wachtwoordbeheerders van nu kunnen worden misleid om verschillende wachtwoordreferenties in te dienen bij verschillende delen van dezelfde website. Dat is wat hackers met de MySpace-aanval hebben gedaan door een nep-wachtwoordinvoervorm op een MySpace-pagina te plaatsen. Omdat zowel de valse als de echte inlogformulieren op het domein myspace.com stonden, konden browsers zoals Firefox ertoe worden aangezet automatisch aanmeldingsgegevens naar de fraudeurs te verzenden. Die bug is nu opgelost in Firefox, maar Chrome en Safari zijn nog steeds kwetsbaar voor soortgelijke aanvallen.

Een ander probleem is dat browsers wachtwoorden voor het ene domein, bijvoorbeeld Google.com, naar een ander domein sturen - zeg Myspace. com - zonder waarschuwing van de gebruiker, zei hij. Dat komt omdat browser-makers aannemen dat de pagina die om het wachtwoord vraagt ​​vertrouwd moet worden, zelfs als het het wachtwoord naar een ander domein verzendt, zei hij. <

Chapin zegt dat hij de Opera wachtwoordmanager gebruikt omdat het hem beter kan wachtwoorden opslaan voor specifieke webpagina's. Hij heeft een online test geplaatst waarop gebruikers de veiligheid van hun eigen wachtwoordbeheerders kunnen testen.

Robert Hansen, CEO van Web Security consultancy SecTheory, zei dat de veiligheidsgemeenschap al enkele jaren weet dat browsermanualmanagers onveilig zijn. Dit komt vooral omdat de browsers zelf kwetsbaar zijn voor zoveel verschillende soorten aanvallen. "Ze zijn geen goed idee vanuit een beveiligingsperspectief als ze eenmaal zijn geïntegreerd in de browser," zei hij via een chatbericht. "De browser zelf is niet ontworpen om een ​​groot aantal exploits tegen te houden die diefstal van wachtwoordbeheer mogelijk maken. Zonder deze exploits zouden hackers voor wachtwoordbeheer niet werken."