FYI.

This story is over 5 years old.

Gebruik je Google Chrome? Dan kan elke debiel nu al je passwords jatten

Google heeft als 'waarschuwing' een nieuwe feature in Chrome waardoor iedereen zomaar je passwords kan zien.
07 augustus 2013, 11:24am

Er is een nieuwe feature toegevoegd aan Google Chrome die het mogelijk maakt voor iedereen die eventjes op je computer gaat om al je passwords te jatten. Dit gaat een stapje verder dan dat mensen je een beetje Frapen ['grappige' dingen op je Facebook zetten. red.] terwijl je weg bent. Door naar chrome://settings/passwords (copy-paste in je browser) te gaan kun je in Chrome al je opgeslagen wachtwoorden zien. De wachtwoorden die opgeslagen worden als Chrome je vraagt of je wil dat het password wordt opgeslagen. Ik deed dat altijd, omdat ik lui ben en vier verschillende standaardwachtwoorden heb die ik willekeurig over verschillende sites gebruik, maar nooit precies weet welke bij welke hoort.

Door simpelweg met je muis over het wachtwoord heen te hoveren, krijg je de optie Show, en als je daarop klikt krijg je meteen, zonder verder gedoe, het password naar keuze zien. Naast natuurlijk alle websites waar je een account hebt. Nu zou je achterdochtige vriendinnetje dus niet alleen het wachtwoord van je geheime emailadres zien, maar ook inloggen op je PornHub-account om te checken welke viezigheid je allemaal bekijkt en of zij grotere tieten heeft en dunner is dan de actrice in kwestie.

Dit alles werd gisteren blootgelegd door blogger en ontwikkelaar Edward Kember, die toevallig op de "feature" stuitte toen hij op zoek was naar iets anders. Hij schreef er een blogpost over die vervolgens zich als een bosbrand over het nerderige gedeelte van het internet verspreidde. Maar dit is niet alleen voor nerds interessant, dit heeft ook te maken met jou, de casual-doch-in-technologie-en-wetenschap-geïnteresseerde internetgebruiker.

Chef security Justin Shuh van Google Chrome haastte zich om te reageren op de aanteigingen dat deze feature nergens op slaat en de privacy van elke Chrome-gebruiker in het geding brengt:

"You think your passwords are protected somehow in other applications, but they're simply not. The fact is that they're still trivially recoverable, and if the bad guy can read them at all than he already has access to fully compromise your entire OS user account. So, you're arguing that we take measures to make users think they're safe when they've already surrendered any pretense of security. Effectively, you're asking that we lull our users into a false sense of security.

I've enumerated this multiple times now, so I'm not sure how else to explain it. The simple fact is that you need to lock your user account if you want to protect your information. If you don't do that, nothing else really matters because it's all just theater and won't actually stop anyone willing to invest minimal effort."

De strekking van zijn verhaal is dus dat het je eigen verantwoordelijkheid is om je passwords beter te beveiligen. En als je je computer ergens achterlaat, dan moet je altijd uitloggen. Het liefst uit de hele OS. En natuurlijk is wat hij zegt wel waar, natuurlijk moet je uitloggen, maar om nou alle passwords voor elke debiel die eventjes "iets moet opzoeken" op je computer zomaar open en bloot, zonder enige beveiliging, beschikbaar te maken vind ik toch een beetje ver gaan.

Hij benadrukt daarnaast nog dat ze dit doen om gebruikers niet "een vals gevoel van veiligheid te geven." Waarmee hij in feite zegt dat ze het doen als een soort waarschuwing. Een beetje alsof autofabrikanten geen gordels inbouwen om te laten zien hoe erg dood je gaat bij een ongeluk. Of dat de overheid wat plutonium in je sigaretten stopt om je sneller in te doen zien dat je er gezwellen van krijgt. Maar het vreemd genoeg nergens aankondigen dat ze dat doen.

Naar mijn mening wakkert deze 'feature' alleen maar achterdocht aan. Achterdocht die totaal onnodig is, omdat ze bij Chrome prima de passwords pas zichtbaar kunnen maken als jij zelf een password hebt ingetypt. Bovendien ben ik lui, en wil ik op mijn eigen computer altijd ingelogd blijven. Ik wil helemaal niet altijd mijn passwords in hoeven typen en ik wil ook geen tijd kwijt zijn aan elke keer inloggen en uitloggen. Dus Google, beter bescherm je mijn passwords met nog een password. Dan beloof ik dat ik er een gloednieuw vijfde password voor verzin.