‘Google moet inloggen bij browser verbeteren’

Google moet van tevoren waarschuwen wat de risico’s zijn van het aanmelden bij webbrowser Chrome. Dat zeggen Nederlandse veiligheidsexperts in NRC Handelsblad, naar aanleiding van vragen over gelekte wachtwoorden en bladwijzers. Als twee personen in dezelfde Windows- of Mac-omgeving werken en Chrome gebruiken, raken hun cloudgegevens vermengd. Zo krijg je via browsersynchronisatie toegang – ook

Google moet van tevoren waarschuwen wat de risico’s zijn van het aanmelden bij webbrowser Chrome. Dat zeggen Nederlandse veiligheidsexperts in NRC Handelsblad, naar aanleiding van vragen over gelekte wachtwoorden en bladwijzers.
Als twee personen in dezelfde Windows- of Mac-omgeving werken en Chrome gebruiken, raken hun cloudgegevens vermengd. Zo krijg je via browsersynchronisatie toegang – ook op andere computers – tot de geheime logins die anderen synchroniseren: betaalde sites, opslagdiensten en webwinkels.
Google noemt deze beperking van Chrome in de helpbestanden, maar Michel van Eeten, hoogleraar aan de TU Delft en gespecialiseerd in internetveiligheid, vindt dat die waarschuwing veel duidelijker getoond moet worden.

De aanleiding voor de kritiek is de mysterieuze verwisseling van login-gegevens tussen twee Chrome-gebruikers, techjournalist Colin van Hoek van nu.nl en NRC’s technologieredacteur Marc Hijink. De afgeschermde webdiensten van de één bleken volledig toegankelijk voor de ander. De verwisseling werd afgelopen week bij toeval ontdekt op een werk-pc bij nu.nl.

Lees het hele artikel ‘Bedonderd door de browser’ in de digitale editie van NRC Handelsblad (alleen voor abonnees)


Blunder of bug?

Was het een blunder of een bug? Het was in ieder geval aanleiding voor vragen aan Google. Het internetbedrijf denkt na onderzoek dat een doorgegeven test-pc met Chrome de boosdoener was: beide redacteuren logden in met hun eigen Chrome-account, maar binnen dezelfde Windows-omgeving. Via Chrome Sync werden login-gegevens vermengd en verspreid op allerlei machines. Deze situatie bleek achteraf eenvoudig na te bootsen.

Browsersynchronisatie bestaat al jaren maar wordt nu pas grote schaal gebruikt. Googles webbrowser Chrome is goed voor 25 tot 30 procent marktaandeel op de pc, en het is de standaardbrowser in Android, marktleider op smartphone. Ook Mac OS X en Windows 8 (vanaf oktober) bieden synchronisatie aan.

Ook browsers als Apple Safari, Firefox en Opera synchroniseren bladwijzers en inlognamen. Met één verschil: Chrome stimuleert gebruikers actief in te loggen, met prominente oproepen. Op het beginscherm staat ‘Meld u aan om uw bladwijzers, geschiedenis en instellingen op al uw apparaten te krijgen.’ Negeer je dit, dan verschijnt er in beeld ‘Niet aangemeld bij Chrome – dit kan handiger: aanmelden.’

Michel van Eeten vindt dat Chrome zo de verwachting wekt dat de persoonlijke gegevens ook aan de inloggegevens gekoppeld zijn: „In een afgeschermd gebied, op mijn eigen pc of in de cloud.”
Maar dat is dus niet het geval.

Quick and Simple

Google Chrome houdt de profielen achter de schermen niet gescheiden. Chrome OS, het gelijknamige besturingssysteem dat werd afgeleid van de browser, doet dat juist wel.

Software-ontwikkelaar Miranda Callahan schreef vorig jaar over Chrome:

One thing to keep in mind is that this feature isn’t intended to secure your data against other people using your computer, since all it takes is a couple of clicks to switch between users. We want to provide this functionality as a quick and simple user interface convenience for people who are already sharing Chrome on the same computer today. To truly protect your data from being seen by others, please use the built-in user accounts in your operating system of choice.

De optie om meerdere gebruikers zo eenvoudig in te laten loggen leverde vorig jaar meteen kritiek op van Android-kenner Kevin Purdy:

There’s nothing to prevent someone who stops by your desktop or laptop while you’re not using it from clicking into the Options (or the upper-left user icon, if you’ve added more than one account) and adding another account to your Chrome browser. It’s easy to delete accounts from the Options/Preferences page, but if someone has set up their own account on your browser, they’ve left everything in their account open to you.

Illustratie Pepijn BarnardIllustratie Pepijn Barnard


Google waarschuwt in de helpbestanden: “Vergeet niet dat u Chrome NIET moet instellen met uw Google-account op een openbare of niet-vertrouwde computer.” Maar die dringende mededeling met dubbele ontkenning is pas zichtbaar als je op de knop ‘meer informatie’ klikt.

Verwijderen of ontkoppelen

Om lekken van gegevens in Chrome te voorkomen, legt Google uit, moet je per se in verschillende gebruikersomgevingen werken, van elkaar gescheiden door het besturingssysteem. Dat is gebruikelijk in het bedrijfsleven, maar het gebeurt lang niet op alle (thuis-)computers en pc’s op openbare plekken.

Een andere optie is de gebruikersnaam in Chrome verwijderen. Het verschil is subtiel: je moet een gebruiker verwijderen - niet loskoppelen - om gegevens te wissen. Koppel je een account alleen ‘los’ - die optie is bovenaan te vinden bij de instellingen - dan worden de gegevens met elkaar vermengd en de logins van de eerste account opgenomen in de eerste account. Of andersom.

Google zegt dat het voldoende waarschuwt: gebruikers krijgen achteraf alle opties om de synchronisatie uit te zetten, oftewel opt-out. “Vooraf te veel opties bieden komt de usability niet ten goede”, aldus Wieland Holfelder, die de leiding heeft over softwareontwikkelaars van Google.

Michel van Eeten vindt dat de gebruiksvriendelijkheid juist wordt geschaad doordat gebruikers een verkeerd beeld krijgen van hun veiligheid. En Patrick De Graaf, veiligheidsspecialist van Capgemini, vindt opt out alleen handig voor experts en niet voor de normale gebruiker. “Je zou light uitvoeringen van de huidige geavanceerde browsers moeten hebben, in de vorm van profielen of settings. En dan standaard op de light versie natuurlijk, met opt-in voor de geavanceerdere opties waarvoor je meer moet kunnen weten. Graag met een waarschuwing erbij wat dat betekent.”

Wat doen andere browsers?

Firefox
Firefox Sync is alleen in de menubalk te vinden - veel minder prominent dan bij Google Chrome - en vraagt bij het koppelen van een nieuwe pc om een actieve bevestiging op de oorspronkelijke machine. De optie ‘wachtwoorden synchroniseren’ staat standaard aangekruist, ook extensies kunnen worden gesynchroniseerd. Sync-gebruikers hebben wel de keuze of gegevens samengevoegd moeten worden, of overschreven.

Apple iCloud
Bladwijzers in Safari worden bijgehouden via iCloud. Het wisselen van een iCloud-account op de computer is zo omslachtig dat je niet kunt vergeten dat een ander het apparaat eerder gebruikte. Datzelfde geldt voor iPhone en iPad. Wachtwoorden van openstaande tabbladen worden niet uitgewisseld, zowel bij computers als bij telefoons.

Microsoft

Internet Explorer heeft standaard geen synchronisatie-instellingen. Je kunt met plugins als XMarks toch computers op elkaar afstemmen. Windows 8, de versie die eind oktober op de markt komt, kan bladwijzers, webgeschiedenis en ook wachtwoorden synchroniseren. Daarvoor moet je wel eerst de pc in kwestie ‘vertrouwen’.

Opera

Opera Link synchroniseert via een Opera-account, maar laat in de standaardinstelling de wachtwoorden ongemoeid. Opera vraagt om een activering die per email bevestigd moet worden.

Wachtwoordmanagers

LastPass, Keepass (gratis) en 1Password (50 dollar) zijn gespecialiseerde wachtwoordmanagers: zij kunnen verschillende apparaten synchroniseren en zelf ingewikkelde wachtwoorden verzinnen die moeilijker te raden zijn. Het werkt iets omslachtiger maar biedt meer controle dan standaard browsersynchronisatie. De synchronisatie met tablets en smartphones werkt onder meer via Dropbox.

Leesvoer

Lees hier een vergelijking van drie passwordmanagers voor de iPhone.
Lees hier meer over de manier waarop de verschillende browsers hun gegevens lokaal en in de cloud versleutelen:

Lees hier meer over de risico’s van browsersynchronisatie in het bedrijfsleven:

    • Marc Hijink