Ich schaue mich nach einem guten Passwort-Manager um (ja, ich bin wählerisch) und bin heute auf ein interessantes Problem gestoßen:
- Ich habe meine Passwörter im Google Passwort-Manager gespeichert.
- Für einige Websites verwende ich LastPass, um ein Gefühl dafür zu bekommen.
- Wenn ich eine neue Site mit gespeicherten und geladenen Anmeldeinformationen von GooglePass betrete, bietet LastPass an, Einträge in meinem Tresor zu speichern. Wenn ich das tue, sind sie lesbar, entschlüsselt und gut sichtbar.
- Da die in GooglePass gespeicherten Anmeldeinformationen mit meinen Google/Microsoft-Benutzernamen/Passwörtern verschlüsselt werden sollenWIE LastPass sie lesen kann? Sie sind auf dem Bildschirm „versteckt“ und LastPass „kennt“ sie nicht. Wenn ich in GooglePass darauf zugreifen möchte, muss ich die Anmeldeinformationen meines PC-Kontos angeben. Wie ist es möglich, dass LastPass dies ohne Probleme tut (liest)? Kann es irgendetwas entschlüsseln? Kann es ASC-Zeichen lesen, die an das Kennwortfeld gesendet werden, bevor sie auf dem Bildschirm als Punkte oder Sterne „versteckt“ werden? Was ist mit dem Schutz meiner Kennwörter, die ich nicht im Tresor speichern möchte?
Da ich von der Prämisse des „begrenzten Vertrauens“ ausgehe, bin ich etwas verwirrt. Übersehe ich hier etwas Offensichtliches?
Danke!
Antwort1
Die in ein Passwortfeld auf einer Website eingegebenen Daten sind im Klartext und lesbar. Auf dem Bildschirm werden sie als Punkte angezeigt, sodass niemand sie über Ihre Schulter lesen kann, aber im Speicher sind sie überhaupt nicht kodiert oder verschlüsselt. Der Browser muss diese Klartextversion an den Server senden, damit Sie sich anmelden können. Wenn er versuchen würde, einen verschlüsselten Wert zu senden, könnte die Website die Anmeldeanforderung nicht verarbeiten.
Ein Passwortmanager kann dann den Benutzernamen und das Passwort entweder aus dem Speicher des Browsers abrufen oder die HTTP-Anfrage zur Anmeldung überprüfen. Der Passwortmanager installiert dazu wahrscheinlich eine Browsererweiterung.