1Password gaat waarschuwen voor gelekte wachtwoorden

Door: Raymon Mens - 4 reacties

Hoe weet je of een wachtwoord echt veilig is? Je kunt natuurlijk een willekeurige reeks tekens selecteren, maar veel mensen prefereren een leesbaar wachtwoord. 1Password gaat een extra handje helpen bij het selecteren van een veilig, maar leesbaar wachtwoord.

De app voor wachtwoordbeheer krijgt een functie die checkt of wachtwoorden niet op een lijst met gelekte gegevens staan. Daarvoor wordt de data van Have I Been Pwned gebruikt. Die bevat dan 500 miljoen wachtwoorden die bij eerdere hacks van Adobe, Kickstarter en Bitly buit zijn gemaakt.

Voorlopig alleen in webversie

Het checken van wachtwoorden werkt voorlopig alleen in de browserversie van 1Password. Het is nog een proof of concept en als de functie in de smaak valt, worden de iOS- en macOS-apps van de dienst er ook mee uitgerust. Je opent allereerst de Vault en haalt de functie vervolgens met de toetsencombinatie Shift-Control-Option-C (of Shift+Ctrl+Alt+C op Windows) tevoorschijn.

In onderstaande video zie je hoe het werkt.

Voor iedereen te gebruiker

De data van Have I Been Pwned is ook via het web in te zien. Je kunt je wachtwoord invoeren, dit wordt gehasht verzonden en met de gelekte databases vergeleken. Staat je wachtwoord op de lijst? Dan is het beter om het niet langer te gebruiken. Je kunt de database met gelekte passwords ook in zijn geheel downloaden, maar het bestand is wel 9GB groot.

Voor ontwikkelaars is er een API om op gelekte wachtwoorden te checken. Niets staat andere password managers of zelfs websites in de weg om deze functie te integreren. Misschien iets voor Facebook: echte veiligheid in plaats van schijnveiligheid met meer tracking.

Reacties

4 reacties
  • Profielfoto
    Rene van den Abeelen

    En nu maar hopen dat er geen lek is als jij je password intikt om te checken…

  • Profielfoto
    Elduderino

    Rene van den Abeelen op 23 februari 2018 17:27
    En nu maar hopen dat er geen lek is als jij je password intikt om te checken…

    Alleen wordt er geen password naar de server verstuurt maar alleen een deel van de hash.  Daarnaast worden er ook geen loginnaam gegevens verstuurd of voor welke dienst de password door jou wordt gebruikt.

  • Profielfoto
    defores

    Elduderino op 23 februari 2018 21:04

    Rene van den Abeelen op 23 februari 2018 17:27
    En nu maar hopen dat er geen lek is als jij je password intikt om te checken…

    Alleen wordt er geen password naar de server verstuurt maar alleen een deel van de hash.  Daarnaast worden er ook geen loginnaam gegevens verstuurd of voor welke dienst de password door jou wordt gebruikt.

    Blijkbaar is het dan toch niet zo veilig want men weet op basis van deel van de hash en database gegevens je wachtwoord te vergelijken m.b.v. een openbare API. Dat betekend dat ook crackers daar handig gebruik van kunnen maken.

  • Profielfoto
    Elduderino

    defores op 25 februari 2018 10:03

    Elduderino op 23 februari 2018 21:04

    Rene van den Abeelen op 23 februari 2018 17:27
    En nu maar hopen dat er geen lek is als jij je password intikt om te checken…

    Alleen wordt er geen password naar de server verstuurt maar alleen een deel van de hash.  Daarnaast worden er ook geen loginnaam gegevens verstuurd of voor welke dienst de password door jou wordt gebruikt.

    Blijkbaar is het dan toch niet zo veilig want men weet op basis van deel van de hash en database gegevens je wachtwoord te vergelijken m.b.v. een openbare API. Dat betekend dat ook crackers daar handig gebruik van kunnen maken

    Hoe dan? Er wordt een deel van de hash verstuurd. overeenkomstige wachtwoorden welke beginnen met dezelfde hash worden terug gestuurd, waarna de verzoekende partij kan kijken of er een match is. Het is een behoorlijk goed doordacht proces.  Daarbij geef je nog steeds geen site of username gegevens vrij… redelijk belangrijk dacht ik zo.

    https://blog.agilebits.com/2018/02/22/finding-pwned-passwords-with-1password/