Firefox laat gebruikers opgeslagen wachtwoorden naar .csv-bestand exporteren

Ja goed, ik deed het ook, maar in de praktijk zie je eigenlijk niemand een wachtwoord invullen bij het inloggen. Van de kleine groep tweakers is er helaas een nog kleine groep die daadwerkelijk de boel zo instelt.

een CSV-export van maken lijkt me de situatie alleen maar verslechteren.

Of juist niet, zo is makkelijk te im-/exporteren naar keeppass en alikes. Wel meteen die csv filedata zeroshredden on disk na de ex-/import.

Waarom? Die wachtwoorden moeten gewoon leesbaar zijn, anders kan de browser ze ook niet voor je invullen. Je kunt deze wachtwoorden niet hashen, dus ze moeten in leesbare vorm in de browser beschikbaar zijn. Het master password kan voorkomen dat iemand de wachtwoorden kan uitlezen, maar dat voorkomt ook meteen al de CSV-export.

Wat is precies het aanvalsmodel dat dit zo gevaarlijk maakt? Wat is de bedreiging hier, wat is hun aanvalsdoel en wat is erin verander? Ik zie niet hoe de situatie hierdoor slechter wordt.

Het is allemaal afhankelijk van twee factoren, vertrouwen en de sterkte van de encryptie. Een argument om je browserwachtwoordbeheerder te gebruiken is dat deze toch al je wachtwoorden in plain text verwerkt, dus als je je browser niet vertrouwt, kun je ook je wachtwoorden niet gebruiken.

Aan de andere kant is de wachtwoordbeheerder van de browser vaak standaard ontsleuteld zodra je inlogt op Windows. Andere wachtwoordbeheerders vragen je nog een keer extra om een wachtwoord (eens in de X tijd bijvoorbeeld, zoals bij Bitwarden, of bij het opstarten, zoals bij Keepass) dus als je je beheerder maar gesloten hebt, zijn je wachtwoorden nutteloos voor een aanvaller. Het hoofdwachtwoord dat ze vragen is namelijk waar se hun sleutel vandaan halen om de wachtwoorddatabase te ontsleutelen. Aan de ene kant heeft dit dus het voordeel dat er een extra beveiliging tussen je browser en het wachtwoord zit, aan de andere kant moet je weer een extra stuk software vertrouwen.

Als laatste zou ik wel aanraden om een wachtwoordbeheerder te gebruiken die direct met de browser integreert (Bitwarden, Lastpass, die van je browser) omdat het klembord op de meeste besturingssystemen door ieder programma uit te lezen is, vaak door sandboxes heen. Op Android was dit een probleem, dus heeft Android 10 toegang tot het klembord op de achtergrond compleet verboden (tot mijn irritatie want KDE Connect kan nu niet meer mijn klembord synchroniseren). Browserplugins zetten het wachtwoord direct in de HTML in plaats van deze via het klembord te laten gaan, dus je hoeft niet je klembord achteraf snel leeg te maken bijvoorbeeld.

Daarnaast heb je met een geïntegreerde wachtwoordmanager een stuk minder kans gephisht te worden. Als je dyslectisch bent en een aanvaller je kan overtuigen naar de loginpagina van twaekers.net te gaan, is er met de handmatige copy/paste methode een redelijke kans dat je gewoon je tweakers-wachtwoord kopieert en plakt. Je verwacht tweakers, denkt dat je op tweakers zit en pakt dus precies het wachtwoord dat hackers van je willen. Met ingebouwde wachtwoordbeheerders werkt dat niet, omdat wachtwoorden gekoppeld zijn aan de URL. Als auto-invullen niet werkt, zal de manager je dus geen wachtwoord voor de site geven en weet je dat er iets gaande is. Bij een interne test van mijn werkgever heeft dit mij en mijn slaapdronken kop bijvoorbeeld gered, de browser liet niks zien en de addon zette in grote letters het phishingdomein er nog een keer bij.

Ik heb zelf gekozen voor Bitwarden omdat a) deze door mij zelf te hosten was (kan met Firefox sync ook, maar moeilijker), b) deze open source is, c) er addons apps zijn op ieder platform dat ik gebruik en d) omdat alle data end-to-end versleutelt blijft (dus zelfs als de server gehackt wordt kunnen ze niks met je wachtwoorden) en e) de features zoals inloggen met 2FA, de wachtwoordgenerator, het kunnen toevoegen van notities die versleuteld worden en creditcards en identiteiten voor formulieren, het kunnen toevoegen van meerdere velden (security questions! PGP keypairs!) die zowel leesbaar of als wachtwoord kunnen worden ingesteld.

De nieuwe wachtwoordmanager die Firefox de afgelopen maanden geïntroduceerd heeft, heeft de veel van die features maar ik was al overgestapt. Ook is de versleuteling tussen apparaten volgens mij gebaseerd op je Firefox-wachtwoord dat ook weer op de computer staat, dus zonder master password zou ik het niet zelf gebruiken. Bij Chrome geldt ongeveer hetzelfde.

Dan als laatste, zelfs met versleuteling zal je computer de browser laten denken alsof er geen versleuteling aanwezig is. De HTML5 API en de WebExtension API kunnen op randgevallen na (Google wil een sandbox per website maken om echte bestanden in op te kunnen slaan, maar die kunnen dus niet bij bestanden op je hele systeem) niet bij je bestanden tenzij jij ze kiest. Dat kan met slepen vanuit je bestandsverkenner naar een upload-knop of door een "bestand openen" popup te openen. Dus, zolang je geen legacy Firefox extensies hebt, zullen je bestanden veilig zijn voor normale websites. Willen ze je hele schijf dan zul je zelf al je bestanden moeten selecteren.

Dat wordt natuurlijk anders zodra er een kwetsbaarheid in je browser wordt uitgebuit. In dat geval kan de aanvaller toegang krijgen tot alle bestanden waar het browserproces bij kan. Browsers hebben hier ook weer enige trucs tegen, maar die worden vaak ook meteen verslagen door hackers.

Één oplossing voor het probleem is de relatief nieuwe manier om Edge te draaien. Microsoft heeft namelijk de mogelijkheid toegevoegd om Edge in een virtual machine te draaien die het nagenoeg onmogelijk maakt meer dan alleen je browser uit te kunnen buiten zolang je Windows Defender maar aan houdt. Ongeveer het idee dat Qubes OS heeft: applicaties die mogelijk risico's lopen in een losse virtuele machine draaien. Dit gaat wel ten koste van snelheid (je GPU kan niet direct gebruikt worden door je browser en dat merk je) maar is een van de veiligste manieren om te browsen.

Natuurlijk is het wel zo dat als je wachtwoordmanager is geïntegreerd met je browser en je deze ontgrendeld hebt een aanvaller wel bij deze wachtwoorden kan. In dat opzicht is Keepass met een virtuele browser veiliger, maar eerlijk gezegd vind ik de kans dat ik daar slachtoffer van wordt kleiner dan dat iemand mij phisht en mijn Firefox-wachtwoord steelt.

Welke methode veiliger is, ligt aan waar je jezelf tegen probeert te beschermen. Als je weet dat je klembord niet wordt afgeluisterd en je wilt dat je collega's niet in je wachtwoorden kunnen als je je scherm vergeet te vergrendelen, is Keepass openen en sluiten ja het kopiëren een perfecte keus. Als je altijd je scherm wel vergendeld en je banger bent voor phishing, je nog wel eens een programma draait van internet dat je klembord kan willen monitoren of meer neigt naar het gemak van ingebouwde synchronisatie etc., is een browser-addon een beter keus.

Ik koos zelf voor de tweede categorie vanwege gemakszucht en de focus op phishing maar ik kan je niet zeggen wat voor jou het beste werkt. Uiteindelijk vind ik de keus voor enige wachtwoordmanager, al is het een boekje wachtwoorden in de kast (waar je altijd een codewoord voor zet, niet het hele wachtwoord opschrijven) sowieso een verbetering boven voor iedere website een wachtwoord proberen te onthouden. Oh, en om 2FA zoveel mogelijk aan te zetten natuurlijk. Met die twee stappen ben je al zoveel beter beveiligd dan de meeste mensen dat de exacte keus voor manager gewoon door je eigen inzicht en voorkeur kan worden bepaald.

Hoe heb je dan eerder 'vastgesteld' dat het niet kan?