Lengte Gmail wachtwoorden onthuld door Google-protocol - VPNgids.nl

Lengte Gmail wachtwoorden onthuld door Google-protocol

Gmail wachtwoorden: QUIC onthuld lengteEen beveiligingslek in een Google-protocol zorgt er voor dat aanvallers de lengte van iemands wachtwoord kunnen achterhalen. Het lek werd ontdekt door onderzoekers van de Amerikaanse Purdue University. Het betreffende Google-protocol wordt door meer dan 1 miljard gebruikers gebruikt. 

Ring-Road

De kwetsbaarheid wordt door de onderzoekers Ring-Road genoemd. Zij hoopten wellicht op lof bij het ontdekken van deze kwetsbaarheid. Helaas krijgt de aankondiging van het lek vooral veel kritiek te verduren. Onder andere op Hacker News en Reddit ligt de aankondiging onder vuur. De impact van Ring-Road zou te verwaarlozen zijn.

Google-Protocol QUIC lekt Gmail wachtwoorden

Het was al lang bekend dat het Google-protocol QUIC (Quick UDP Internet Connections) de exacte lengte van gevoelige informatie lekt wanneer deze via internet verstuurd wordt. Het protocol is bedoeld om de snelheid en prestaties van Chrome en Google-diensten te versnellen. Ook de lengte van Gmail wachtwoorden kan worden gelekt bij het inloggen.

Advies van onderzoekers

De onderzoekers van Purdue University stellen dat QUIC met het lekken van deze informatie het doel van de onderliggende encryptie ondermijnt. Die encryptie moet er juist voor zorgen dat gegevens zoals Gmail wachtwoorden vertrouwelijk blijven. Zij adviseren gebruikers van Chrome daarom om QUIC in de browser uit te schakelen. Systeembeheerders raden zij aan om QUIC via de firewall te blokkeren.

Volgens critici hebben bovengenoemde adviezen geen enkele zin, omdat TLS zich op dezelfde manier gedraagt. Daarnaast kunnen aanvallers weinig met enkel de lengte van een wachtwoord dat lang genoeg is om een bruteforce-aanval te weerstaan. Google heeft de Internet Engineering Task Force (IETF) gevraagd een onderzoek te starten om te zien of het probleem kan worden verholpen.

Over Kim Moreau

Kim Moreau is na haar studie journalistiek als blogger op verschillende platformen aan de slag gegaan. Momenteel richt zij zich met name op technologie. Voor VPNgids houdt zij met name online privacy en security gerelateerd nieuws bij.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd met *