it-swarm.com.de

Wie sicher ist Chrome Speichern eines Passworts?

Immer wenn ich mich auf einer neuen Website anmelde, fragt mich Chrome), ob die Anmeldedaten gespeichert werden sollen. Früher glaubte ich, dass dies ziemlich sicher ist. Wenn jemand meinen Computer entsperrt findet, kann er vorbei Der Anmeldebildschirm für eine Website mit den gespeicherten Daten. Wenn Sie jedoch wie beim Auschecken erneut nach dem Kennwort gefragt werden oder sich von einem anderen Gerät aus beim Dienst anmelden möchten, haben Sie kein Glück.

Zumindest dachte ich das, als ich glaubte, dass der Browser nicht das Passwort selbst speicherte, sondern einen Hash oder eine Verschlüsselung des Passworts. Ich habe festgestellt, dass der Browser die Felder Benutzername und Kennwort ausfüllt und das Kennwortfeld die Anzahl der Zeichen im Kennwort angibt.

Ich gehöre zu den Leuten, die, wenn sie aufgefordert werden, ihr Passwort zu ändern, nur das gleiche Passwort behalten, aber am Ende eine Nummer ändern. Ich weiß, dass dies schlecht ist, aber mit der Häufigkeit, mit der ich aufgefordert werde, Kennwörter zu ändern, konnte ich mich wirklich nicht an die Anzahl der von mir erwarteten Kennwörter erinnern. Dies führt zu vielen gleichen Passwörtern, aber manchmal vergesse ich, wie die Endnummer für eine bestimmte Anmeldung lauten muss.

Ich konnte mich nicht an die Endnummer eines bestimmten Logins erinnern und ging zu einer Website, auf der das Passwort gespeichert war. Ich habe die letzten paar Zeichen gelöscht und verschiedene Nummern und Bratschen ausprobiert, wusste, was die richtige Endnummer war.

Es scheint mir, dass dies eine grundlegende Sicherheitslücke ist. Wenn ich das letzte Zeichen meines Passworts überprüfen kann, ohne andere zu überprüfen, steigt die Anzahl der Versuche, das zum Knacken des Passworts erforderlich ist, linear mit der Anzahl der Zeichen, die nicht exponentiell sind. Es scheint nur ein kurzer Schritt von dort zu sein, zu sagen, dass ein einfaches Skript alle gespeicherten Passwörter für alle wichtigen Websites extrahieren könnte, für die ich Passwörter gespeichert habe, wenn jemand zu meinem Computer kam, als dieser entsperrt wurde.

Ist das nicht der Fall? Gibt es eine andere Sicherheitsebene, die dies verhindern würde?

132
Tony Ruth

Chrome speichert Ihren Passworttext nicht nur, er zeigt ihn Ihnen auch an. Unter Einstellungen -> Erweitert -> Kennwörter verwalten finden Sie alle Ihre Kennwörter für alle Ihre Websites. Klicken Sie auf "Anzeigen" und es wird im Klartext angezeigt.

Hash-Passwörter funktionieren für die Site, die Sie authentifiziert. Sie sind keine Option für Passwortmanager. Viele verschlüsseln die Daten lokal, aber der Schlüssel wird auch lokal gespeichert, es sei denn, Sie haben ein Hauptkennwort eingerichtet.

Persönlich verwende ich den chrome Passwort-Manager und finde ihn praktisch. Ich habe jedoch auch eine vollständige Festplattenverschlüsselung und sperre meinen Bildschirm sorgfältig. Das macht das Risiko imho vernünftig.

Sie scheinen inkonsistent zu sein (viele sind es), indem Sie sowohl einprägsame Passwörter auswählen als auch einen Passwort-Manager verwenden. Und ich wage zu vermuten, dass Sie das Passwort oder zumindest das Thema auf vielen Websites sogar wiederholen können. Dies gibt Ihnen das Schlimmste aus beiden Welten. Sie erhalten die Risiken eines Passwort-Managers ohne die Vorteile.

Mit einem Passwort-Manager, dem Sie vertrauen, können Sie jeder Site ein eindeutiges zufälliges Passwort geben, das überhaupt nicht einprägsam ist, und viel Schutz vor vielen sehr realen Angriffsmethoden erhalten. Im Austausch für einen einzelnen Fehlerpunkt Ihres Passwort-Managers. Selbst mit einem weniger als perfekten Passwort-Manager ist dies kein unangemessener Kompromiss. Mit einem guten Passwort-Manager wird dies zur Best Practice für den Konsens.

Bearbeiten, um hinzuzufügen: Bitte lesen Sie Henno Brandsma Antwort, in der erläutert wird, wie Anmeldekennwort und Betriebssystemunterstützung zum Verschlüsseln von Kennwörtern verwendet werden können. Dies bietet einen angemessenen Schutz für Ihre Kennwörter, wenn der Computer ausgeschaltet/gesperrt ist (volle Festplatte) Verschlüsselung ist besser) und hilft nicht viel, wenn Sie Ihren Computer entsperrt lassen. Selbst wenn der Browser ein Kennwort zum Anzeigen von Debug-Tools für Klartext benötigt, können Sie bereits ausgefüllte Kennwörter als @ Darren_H-Kommentare anzeigen. Die vorherige Empfehlung verwendet weiterhin zufällige eindeutige Passwörter und einen Passwort-Manager.

141
Meir Maor

Chrome (unter Windows) verschlüsselt die Passwörter beim Speichern tatsächlich. Dies geschieht jedoch so, dass nur jemand, der Ihr Anmeldekennwort kennt (oder Ihre Anmeldesitzung entführt), die gespeicherten Kennwörter tatsächlich verwenden oder anzeigen kann. Dies ist gut dokumentiert (es wird die sogenannte Datenschutz-API (DPAPI) verwendet, die in Windows ab NT 5.0 (d. H. Windows 2000) verfügbar ist und heutzutage AES-256 zum Verschlüsseln der Kennwortdaten verwendet). Google ist der Ansicht, dass dies eine ausreichende Sicherheit darstellt, da es den gleichen Schutz bietet wie Ihr gesamtes Login. Auf dem Mac oder Linux verwenden sie die native Schlüsselbundtechnologie, um ein spezielles Chrome Hauptkennwort zu schützen, das im Wesentlichen den gleichen Effekt erzielt. Lesen Sie die Quellen für alle Details ...

Edge und IE (natürlich nur unter Windows verfügbar) verwenden diese Technologie übrigens auch unter einem Wrapper namens Credential Store in neueren Windows-Versionen (und davor verwendeten sie DPAPI-Daten, die in gespeichert waren) die Registrierung). Weitere Informationen zu DPAPI finden Sie unter hier , z.

Unter https://github.com/byt3bl33d3r/chrome-decrypter finden Sie ein Beispiel dafür, wie Benutzer gespeicherte Kennwortdaten extrahieren und Ihre Anmeldeinformationen kennen.

83
Henno Brandsma

Bitte, bitte, bitte hör auf, deine Passwörter wiederzuverwenden!

In Firefox können Sie tatsächlich ein Hauptkennwort festlegen, das Ihre gespeicherten Kennwörter vor dem Anzeigen schützt. Dieses Hauptkennwort wird auch einmal pro Sitzung benötigt, bevor der Browser beginnt, Kennwörter für Sie einzugeben.

Sie können auch einen allgemeinen Passwort-Manager verwenden, z. B. Keepass .

Für die meisten Menschen ist die Gefahr, ein Passwort zu verlieren, weil eine Site gehackt wurde, größer als auf ihrem eigenen Computer. Das liegt daran, dass ein Angreifer mit Zugriff auf Ihren Computer viele andere Möglichkeiten hat, Sie anzugreifen. Einer der Hauptvorteile der Verwendung eines Passwort-Managers besteht darin, dass Sie das Passwort nicht mehr manuell eingeben müssen, damit Sie tatsächlich völlig zufällige und sichere Passwörter auswählen können.

Wenn Sie Kennwörter für eine Weile wiederverwendet haben, gibt es eine übersichtliche Website, auf der Sie einige der bekannteren Verstöße überprüfen können, um festzustellen, ob Sie betroffen sind: https://haveibeenpwned.com/

Wenn Sie viele verschiedene Computer verwenden müssen, können Sie in Betracht ziehen, Keepass2Android auf Ihrem Telefon zu verwenden.

29
Elias

Sie können Kennwörter auch in Chrome) anzeigen, indem Sie den HTML-Code ändern. Ändern Sie den Typ des Eingabefelds in "Text", und Sie können vorab ausgefüllte Informationen im Klartext anzeigen. Wenn also jemand an Ihrem Computer ist kennt eine Website, auf der Sie registriert sind, und Chrome füllt Ihr Passwort automatisch aus, sie können es sehen.

7
Teun

Chrome ist anfällig für Passwort-Dumping. Es gibt viele Tools, die Chrome Passwörter) ausgeben. LaZagne ist eines davon. Sie benötigen nicht einmal Administratorrechte oder Anmeldeinformationen oder ähnliches.

Anscheinend ist dies so einfach wie das Herstellen einer Verbindung zur SQLite-Datenbank und das anschließende Aufrufen von Win32CryptUnprotectData, um das Kennwort zu entschlüsseln.

https://github.com/AlessandroZ/LaZagne

Ein böswilliger Benutzer kann einfach diesen Kennwort-Dumper ausführen oder Malware installieren und dieses Tool dann remote ausführen. Ein nicht technischer Benutzer kann diese Aufgabe jedoch nicht ausführen. Daher ist das Speichern von Passwörtern im Browser gegen nicht technische Personen sicher, gegen Malware oder technische Benutzer jedoch unwirksam.

6
Daniel Grover

Die größte Gefahr besteht darin, einen Browser ohne Hauptkennwort zu haben und Ihren Computer zu verlassen, ohne ihn zu sperren: Jeder kann dann schnell ein Bild Ihrer gespeicherten Kennwörter aufnehmen, es dauert nur wenige Sekunden. Also das Offensichtliche: Sperren Sie immer Ihren Computer und legen Sie ein Hauptkennwort fest, verwenden Sie keine Kennwörter oder ähnliche Muster ...

3

Das hängt von Ihrer Plattform ab.

Unter Linux Chrome verwendet kwallet/gnome-keyring auf dem KDE- oder gnome-Desktop, was beide eine gute Sicherheit bieten sollte. Unter OSX wird der OSX-Schlüsselring verwendet, der ebenfalls eine gute Sicherheit bietet. Unter Windows Implementieren Sie einen eigenen Kennwortspeicher, der nicht so sicher ist wie die Systemschlüsselringe auf dem anderen Betriebssystem.

Informationen zu den spezifischen Schwachstellen in der Windows-Implementierung finden Sie in den anderen Antworten.

1
allo

Es ist ziemlich sicher, dass kein Mechanismus 100% sicher ist, aber einige Mechanismen sind sicherer als andere. Auf der einfachsten Ebene ist ein langes Passwort sicherer als ein kurzes Passwort, aber schwieriger zu merken und richtig einzugeben. Sie müssen sich entscheiden, wo das Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit liegt. Passwortmanager sind eine Antwort, wenn sich das Kosten-Risiko-Verhältnis für Sie richtig anfühlt.

Wenn Sie keinem Mechanismus vertrauen, der Ihr Kennwort auf Ihrem Computer speichert, können Sie dies umgehen, indem Sie einen Algorithmus verwenden, um bei Bedarf einen für Sie zu generieren. Ich verwende zufällig ein kleines Programm, das eine Variante von Playfair implementiert ( https://en.wikipedia.org/wiki/Playfair_cipher ), um einen Teil meines Passworts für eine bestimmte Site zu generieren - was den Vorteil hat dass ich es von Hand erstellen kann, wenn ich muss. Vermeiden Sie jedoch triviale Algorithmen (wie das Umkehren der Buchstaben auf einer Website).

Viele Unternehmen verlangen, dass Sie Ihr Passwort regelmäßig ändern. Früher war dies Standard, aber das GCHQ rät jetzt von der Praxis ab (siehe https://www.ncsc.gov.uk/articles/problems-forcing-regular-password-expiry ) Grund, den Sie erwähnen. Hoffentlich wird diese Anforderung mit der Zeit weniger verbreitet.

0
John Denniston

Wenn Sie sich Sorgen machen, dass jemand auf Ihren Laptop zugreift, während Sie angemeldet sind (z. B. wenn Sie ihn bei der Arbeit oder an einem öffentlichen Ort verwenden und ihn gelegentlich unbewacht lassen oder einem Familienmitglied nicht vertrauen), speichern Sie das Kennwort in einem Browser ist keine gute Lösung. Wenn Sie sich Sorgen über Malware auf Ihrem Computer machen (die möglicherweise Ihre Eingabe erfasst) oder wenn Leute sehen, was Sie eingeben, ist dies ziemlich sicher, und dies sind weitaus häufigere Probleme.

0
Tgr