Verdere info via deze link: https://www.agconnect.nl/business/secur ... ickjackingMiljoenen mensen vertrouwen dagelijks op passwordmanagers om hun wachtwoorden veilig te bewaren. Maar recent onderzoek toont aan dat zes grote aanbieders kwetsbaar zijn voor een verrassend simpele aanval: clickjacking. Daarbij denken gebruikers dat ze op een onschuldige knop klikken, terwijl ze ongemerkt gevoelige gegevens prijsgeven.
Wachtwoord managers lekken Wachtwoorden
-
Data technicus
- Elite Poster
- Berichten: 957
- Lid geworden op: 21 mei 2020, 14:39
- Locatie: Spalbeek (Hasselt)
- Uitgedeelde bedankjes: 2 keer
- Bedankt: 120 keer
- Recent bedankt: 5 keer
Blijkbaar lekken veel paswoord managers wachtwoorden via clickjacking-aanvallen.
-
sandbert
- Plus Member
- Berichten: 192
- Lid geworden op: 16 feb 2020, 21:10
- Uitgedeelde bedankjes: 48 keer
- Bedankt: 34 keer
Bewijst nog maar eens dat alles misbruikt kan worden.
Die autofill heb ik trouwens altijd al gewantrouwd en daarom nooit gebruikt, gelukkig maar.
Kopiëren en plakken van gebruikersnaam en wachtwoord vraagt wat meer tijd, maar is dus wel veel veiliger.
Die autofill heb ik trouwens altijd al gewantrouwd en daarom nooit gebruikt, gelukkig maar.
Kopiëren en plakken van gebruikersnaam en wachtwoord vraagt wat meer tijd, maar is dus wel veel veiliger.
-
CCatalyst
- Elite Poster
- Berichten: 9653
- Lid geworden op: 20 jun 2016, 18:36
- Uitgedeelde bedankjes: 19 keer
- Bedankt: 603 keer
- Recent bedankt: 1 keer
Da's ook weer zo'n exploit die in de praktijk toch moeilijker is dan ze laten uitschijnen.
Vult uw password manager dan bv uw PayPal paswoord zomaar in op een site die niet onder paypal.com valt?
Zoja => slechte password manager
Zonee => hij zal uw PayPal pass niet lekken via deze manier
Als het echt een slecht beveiligde site is en ze kunnen een XSS doen, dan zou het wel nog lukken, maar dat zou je toch niet voor mogen hebben op sites waar veiligheid van belang is. Weliswaar opnieuw: "zou".
Het risico is veeleer voor site-onafhankelijke gegevens als uw naam of adres en ook kredietkaart nummer etc. Hangt ervan af of dat in uw password manager zit en hoe snel hij die autofillt. Je moet ook eerst nog op een phishing link klikken btw (of gesocialengineered worden).
Vult uw password manager dan bv uw PayPal paswoord zomaar in op een site die niet onder paypal.com valt?
Zoja => slechte password manager
Zonee => hij zal uw PayPal pass niet lekken via deze manier
Als het echt een slecht beveiligde site is en ze kunnen een XSS doen, dan zou het wel nog lukken, maar dat zou je toch niet voor mogen hebben op sites waar veiligheid van belang is. Weliswaar opnieuw: "zou".
Het risico is veeleer voor site-onafhankelijke gegevens als uw naam of adres en ook kredietkaart nummer etc. Hangt ervan af of dat in uw password manager zit en hoe snel hij die autofillt. Je moet ook eerst nog op een phishing link klikken btw (of gesocialengineered worden).
-
bollewolle
- Elite Poster
- Berichten: 984
- Lid geworden op: 16 nov 2007, 12:53
- Twitter: bollewolle
- Locatie: Gent
- Uitgedeelde bedankjes: 201 keer
- Bedankt: 100 keer
- Recent bedankt: 4 keer
Was er niet van op de hoogte maar dat verklaart wel waarom ik in een van de laatste 1Password extension release notes zag passeren dat er een "Ask before filling" optie is toegevoegd (met een paar opties waarvoor het gevraagd moet worden en waarvoor niet).
