Sicherheitsproblem bei gespeicherten Passwörtern in Chrome

Question 1

Es handelt sich eher um einen Kompromiss in puncto Sicherheit als um eine Sicherheitsschwäche. Aufgrund der Natur von Passwörtern gilt: Wenn sie so gespeichert werden, dass sie verwendet werden können (z. B. zum Ausfüllen eines Formulars), werden sie so gespeichert, dass sie abgerufen werden können, unabhängig davon, welches Schema zum Speichern oder Verschlüsseln verwendet wird. Das Ausblenden der Option zum Anzeigen des Passworts ändert nichts an der Tatsache, dass die Anwendung selbst es irgendwann abrufen muss – und wenn sie dies tut, kann sie es auf verschiedene Arten extrahieren.

Dies klingt nach einer ziemlich großen Lücke, bis man die anderen hier wirkenden Faktoren berücksichtigt.

Um an die Passwörter zu gelangen, muss sich ein Angreifer Zugriff auf das Benutzerkonto oder Administratorkonto des Systems verschaffen, auf dem die Passwörter gespeichert sind. Dies geschieht in der Regel über Schadsoftware, Shoulder Surfing, einen unbeaufsichtigten, aber nicht blockierten PC oder, in einigen Fällen, in denen physischer Zugriff besteht, über Wiederherstellungstools.
Wenn einem Angreifer einer der oben genannten Schritte gelingen sollte, kann er das System auch auf andere Weise manipulieren, etwa durch die Installation von Keyloggern, Fernsteuerungssoftware, Sniffer-Programmen und Desktop-Aufzeichnungssoftware. Ein eingetipptes Passwort ist also nicht unbedingt sicherer als ein gespeichertes.
Ein Benutzer, der Passwörter speichert, verwendet mit weitaus größerer Wahrscheinlichkeit zwischen den Sites eindeutige Passwörter und auch sichere Passwörter.
Ein gespeichertes Passwort ist potenziell sicherer als ein Post-it unter der Tastatur, da sich jemand tatsächlich bei Ihrem Benutzerkonto anmelden muss, um es zu sehen, während er sich das Post-it merken, stehlen, handschriftlich kopieren oder fotografieren kann.

In Wirklichkeit ist das gespeicherte Passwort für einen entschlossenen Angreifer ungefähr genauso gefährlich wie ein eingegebenes Passwort, da der entschlossene Angreifer auf Gelegenheiten wie einen entsperrten PC oder ein entsperrtes Büro vorbereitet ist. Mit ein wenig Übung und Vorbereitung kann ein USB-Laufwerk oder eine Website so präpariert werden, dass sie in weniger als 15 Sekunden ein Rootkit installieren – weniger Zeit, als man braucht, um sich eine Tasse Kaffee zu holen. Wenn Sie befürchten, dass sich jemand hinsetzt und die gespeicherten Passwörter zeigt, haben Sie mit einem ungesicherten und unbeaufsichtigten PC weitaus größere Probleme.

Master-Passwörter sind ein gutes Werkzeug, aber vertrauen Sie ihnen nicht zu sehr. Ein ernsthafter Angreifer, der die Möglichkeit hat, Ihr Master-Passwort zu knacken, ist schon weit genug gekommen, um einen Keylogger zu installieren. Es bietet zwar einen mäßigen Schutz gegen Grab-and-Run-Angriffe auf die Datenbank bei ausgeschaltetem System und einen guten Schutz gegen Gelegenheitsschnüffler, aber es wird niemanden, der ernsthaft an Ihr Passwort gelangen will, davon abhalten, einen entsperrten PC auszunutzen.

In Summe:

Das Speichern von Passwörtern auf dem Computer stellt an und für sich kein ernsthaftes Sicherheitsrisiko dar, ist aber ein erschwerender Faktor, der es Kriminellen erleichtern kann, Ihre Unachtsamkeit auszunutzen, wenn Sie Ihren Computer unverschlossen lassen oder jemand anderen den Computer benutzen lassen, während Sie angemeldet sind. (Sie können denselben Schaden auch ohne das Speichern Ihrer Passwörter anrichten – gespeicherte Passwörter machen es ihnen nur leichter.)
Das Speichern Ihres Passworts auf dem Computer erleichtert die Verwendung sicherer, eindeutiger Passwörter.
Grundlegende Sicherheitsmaßnahmen wie das Verlassen des Computers ohne ihn zu sperren, die Nichtweitergabe Ihrer Passwörter, das Nichtspeichern IHRES Passworts zum Nutzen eines anderen Benutzers auf dessen PC und das Nichtzulassen, dass jemand anders unter Ihrem Login arbeitet, sind weitaus wichtigere Sicherheitsüberlegungen als die Frage, ob Sie Passwörter speichern oder nicht.
Ein Master-Passwort ist immer noch eine gute Idee, wenn Sie die Option haben (Defense in Depth), aber lassen Sie sich dadurch nicht in falscher Sicherheit wiegen. Es ist ein zusätzlicher Faktor und keine Entschuldigung dafür, an anderer Stelle nachlässig zu sein.

Answer

Es handelt sich eher um einen Kompromiss in puncto Sicherheit als um eine Sicherheitsschwäche. Aufgrund der Natur von Passwörtern gilt: Wenn sie so gespeichert werden, dass sie verwendet werden können (z. B. zum Ausfüllen eines Formulars), werden sie so gespeichert, dass sie abgerufen werden können, unabhängig davon, welches Schema zum Speichern oder Verschlüsseln verwendet wird. Das Ausblenden der Option zum Anzeigen des Passworts ändert nichts an der Tatsache, dass die Anwendung selbst es irgendwann abrufen muss – und wenn sie dies tut, kann sie es auf verschiedene Arten extrahieren.

Dies klingt nach einer ziemlich großen Lücke, bis man die anderen hier wirkenden Faktoren berücksichtigt.

Um an die Passwörter zu gelangen, muss sich ein Angreifer Zugriff auf das Benutzerkonto oder Administratorkonto des Systems verschaffen, auf dem die Passwörter gespeichert sind. Dies geschieht in der Regel über Schadsoftware, Shoulder Surfing, einen unbeaufsichtigten, aber nicht blockierten PC oder, in einigen Fällen, in denen physischer Zugriff besteht, über Wiederherstellungstools.
Wenn einem Angreifer einer der oben genannten Schritte gelingen sollte, kann er das System auch auf andere Weise manipulieren, etwa durch die Installation von Keyloggern, Fernsteuerungssoftware, Sniffer-Programmen und Desktop-Aufzeichnungssoftware. Ein eingetipptes Passwort ist also nicht unbedingt sicherer als ein gespeichertes.
Ein Benutzer, der Passwörter speichert, verwendet mit weitaus größerer Wahrscheinlichkeit zwischen den Sites eindeutige Passwörter und auch sichere Passwörter.
Ein gespeichertes Passwort ist potenziell sicherer als ein Post-it unter der Tastatur, da sich jemand tatsächlich bei Ihrem Benutzerkonto anmelden muss, um es zu sehen, während er sich das Post-it merken, stehlen, handschriftlich kopieren oder fotografieren kann.

In Wirklichkeit ist das gespeicherte Passwort für einen entschlossenen Angreifer ungefähr genauso gefährlich wie ein eingegebenes Passwort, da der entschlossene Angreifer auf Gelegenheiten wie einen entsperrten PC oder ein entsperrtes Büro vorbereitet ist. Mit ein wenig Übung und Vorbereitung kann ein USB-Laufwerk oder eine Website so präpariert werden, dass sie in weniger als 15 Sekunden ein Rootkit installieren – weniger Zeit, als man braucht, um sich eine Tasse Kaffee zu holen. Wenn Sie befürchten, dass sich jemand hinsetzt und die gespeicherten Passwörter zeigt, haben Sie mit einem ungesicherten und unbeaufsichtigten PC weitaus größere Probleme.

Master-Passwörter sind ein gutes Werkzeug, aber vertrauen Sie ihnen nicht zu sehr. Ein ernsthafter Angreifer, der die Möglichkeit hat, Ihr Master-Passwort zu knacken, ist schon weit genug gekommen, um einen Keylogger zu installieren. Es bietet zwar einen mäßigen Schutz gegen Grab-and-Run-Angriffe auf die Datenbank bei ausgeschaltetem System und einen guten Schutz gegen Gelegenheitsschnüffler, aber es wird niemanden, der ernsthaft an Ihr Passwort gelangen will, davon abhalten, einen entsperrten PC auszunutzen.

In Summe:

Das Speichern von Passwörtern auf dem Computer stellt an und für sich kein ernsthaftes Sicherheitsrisiko dar, ist aber ein erschwerender Faktor, der es Kriminellen erleichtern kann, Ihre Unachtsamkeit auszunutzen, wenn Sie Ihren Computer unverschlossen lassen oder jemand anderen den Computer benutzen lassen, während Sie angemeldet sind. (Sie können denselben Schaden auch ohne das Speichern Ihrer Passwörter anrichten – gespeicherte Passwörter machen es ihnen nur leichter.)
Das Speichern Ihres Passworts auf dem Computer erleichtert die Verwendung sicherer, eindeutiger Passwörter.
Grundlegende Sicherheitsmaßnahmen wie das Verlassen des Computers ohne ihn zu sperren, die Nichtweitergabe Ihrer Passwörter, das Nichtspeichern IHRES Passworts zum Nutzen eines anderen Benutzers auf dessen PC und das Nichtzulassen, dass jemand anders unter Ihrem Login arbeitet, sind weitaus wichtigere Sicherheitsüberlegungen als die Frage, ob Sie Passwörter speichern oder nicht.
Ein Master-Passwort ist immer noch eine gute Idee, wenn Sie die Option haben (Defense in Depth), aber lassen Sie sich dadurch nicht in falscher Sicherheit wiegen. Es ist ein zusätzlicher Faktor und keine Entschuldigung dafür, an anderer Stelle nachlässig zu sein.

Question 2

Ich denke, es gibt zwei Dinge, die geklärt werden müssen:

Firefox ermöglicht die Festlegung eines Hauptkennworts, um alle Ihre Kennwörter sicher aufzubewahren (Sie müssen das Hauptkennwort eingeben, bevor Ihnen die Kennwörter angezeigt werden, oder es in ein Kennwortfeld eingeben).
Chrome verschlüsselt die Passwörter mit dem Windows-Anmeldekennwort des Benutzers.

Warum Google etwas tut, kann niemand (außer Google) beantworten. Hier ist, was sie bisher gesagt haben:

„Unsere Entscheidung, die Master-Passwort-Funktion nicht zu implementieren, basiert auf unserer Überzeugung, dass sie ein falsches Sicherheitsgefühl erzeugt, anstatt tatsächlich einen starken Sicherheitsvorteil zu bieten.“

Ich verstehe es nicht, und viele andere auch nicht, aber das ist der aktuelle Stand der Dinge. Wenn Ihnen dieser Teil von Chrome nicht gefällt, verwenden Sie etwas wieLastPass.

Answer

Ich denke, es gibt zwei Dinge, die geklärt werden müssen:

Firefox ermöglicht die Festlegung eines Hauptkennworts, um alle Ihre Kennwörter sicher aufzubewahren (Sie müssen das Hauptkennwort eingeben, bevor Ihnen die Kennwörter angezeigt werden, oder es in ein Kennwortfeld eingeben).
Chrome verschlüsselt die Passwörter mit dem Windows-Anmeldekennwort des Benutzers.

Warum Google etwas tut, kann niemand (außer Google) beantworten. Hier ist, was sie bisher gesagt haben:

„Unsere Entscheidung, die Master-Passwort-Funktion nicht zu implementieren, basiert auf unserer Überzeugung, dass sie ein falsches Sicherheitsgefühl erzeugt, anstatt tatsächlich einen starken Sicherheitsvorteil zu bieten.“

Ich verstehe es nicht, und viele andere auch nicht, aber das ist der aktuelle Stand der Dinge. Wenn Ihnen dieser Teil von Chrome nicht gefällt, verwenden Sie etwas wieLastPass.

Question 3

Die Passwörter werden nicht einfach jedem angezeigt. Man müsste Zugriff auf Ihr Windows-Benutzerkonto haben, sonst können Ihre Passwörter nicht angezeigt werden. Da niemand außer Ihnen Zugriff auf Ihr Konto haben sollte (indem er Ihr Passwort kennt), kann ich nicht erkennen, wie das Verhalten von Chrome ein Sicherheitsproblem darstellen könnte.

Obwohl der Internet Explorer keine native Möglichkeit bietet, gespeicherte Passwörter anzuzeigen, sind diese dennoch für jeden Benutzer verfügbar, der Zugriff auf Ihr Konto hat, z. B. durch die Verwendung von Tools wiehttp://www.nirsoft.net/utils/internet_explorer_password.html. Die Nichtangabe einer nativen Methode könnte als eine Art Pseudosicherheit angesehen werden.

Answer

Die Passwörter werden nicht einfach jedem angezeigt. Man müsste Zugriff auf Ihr Windows-Benutzerkonto haben, sonst können Ihre Passwörter nicht angezeigt werden. Da niemand außer Ihnen Zugriff auf Ihr Konto haben sollte (indem er Ihr Passwort kennt), kann ich nicht erkennen, wie das Verhalten von Chrome ein Sicherheitsproblem darstellen könnte.

Obwohl der Internet Explorer keine native Möglichkeit bietet, gespeicherte Passwörter anzuzeigen, sind diese dennoch für jeden Benutzer verfügbar, der Zugriff auf Ihr Konto hat, z. B. durch die Verwendung von Tools wiehttp://www.nirsoft.net/utils/internet_explorer_password.html. Die Nichtangabe einer nativen Methode könnte als eine Art Pseudosicherheit angesehen werden.

Sicherheitsproblem bei gespeicherten Passwörtern in Chrome

Antwort1

Antwort2

Antwort3

verwandte Informationen