it-swarm.com.de

Ist das Speichern von Passwörtern in Chrome so sicher wie das Verwenden von LastPass, wenn Sie es angemeldet lassen?

Justin Schuh verteidigte Googles Argumentation im Zuge von diesem Beitrag detailliert die " Entdeckung " (sic), die Passwörter im Chrome gespeichert haben Der Passwort-Manager kann im Klartext angezeigt werden. Lassen Sie mich ihn direkt zitieren:

Ich bin der Chrome Browser-Sicherheitstechniker, daher könnte es hilfreich sein, wenn ich hier unsere Argumentation erläutere. Die einzige starke Berechtigungsgrenze für Ihren Kennwortspeicher ist das Benutzerkonto des Betriebssystems. Daher verwendet Chrome den vom System bereitgestellten verschlüsselten Speicher, um Ihre Kennwörter für ein gesperrtes Konto zu schützen. Darüber hinaus haben wir jedoch festgestellt, dass Grenzen innerhalb des Benutzerkontos des Betriebssystems einfach nicht zuverlässig sind und meist nur Theater sind.

Betrachten Sie den Fall, dass jemand böswillig Zugriff auf Ihr Konto erhält. Der Bösewicht kann alle Ihre Sitzungscookies löschen, Ihren Verlauf abrufen, eine böswillige Erweiterung installieren, um alle Ihre Browsing-Aktivitäten abzufangen, oder eine Überwachungssoftware auf Betriebssystem-Benutzerkontenebene installieren. Mein Punkt ist, dass das Spiel verloren ging, sobald der Bösewicht Zugriff auf Ihr Konto hatte, weil es einfach zu viele Vektoren gibt, als dass er bekommen könnte, was er will.

Wir wurden auch wiederholt gefragt, warum wir nicht nur ein Master-Passwort oder ähnliches unterstützen, auch wenn wir nicht glauben, dass es funktioniert. Wir haben immer wieder darüber diskutiert, aber wir kommen immer zu dem Schluss, dass wir den Benutzern kein falsches Sicherheitsgefühl vermitteln und riskantes Verhalten fördern wollen. Wir möchten ganz klar sagen, dass jemand, der Zugriff auf Ihr Betriebssystem-Benutzerkonto gewährt, auf alles zugreifen kann. Denn genau das bekommen sie wirklich.

Ich habe LastPass unter der Annahme verwendet, dass es besser und sicherer ist als der integrierte Passwort-Manager von Chrome. Hier sind zwei zusätzliche Fakten relevant:

  1. LastPass hat die Option, auf einem vertrauenswürdigen Computer angemeldet zu bleiben. Nehmen wir an, ich benutze es.
  2. Mit Chrome können Sie ein separates Passwort für die synchronisierten Daten von Google (lesen: gespeicherte Passwörter) erstellen. Nehmen wir an, ich mache das auch.

Ist LastPass bei sonst gleichen Bedingungen sicherer als Chrome? Sobald bösartige Software auf mein System gelangt oder ein Bösewicht Zugriff hat, spielt es aus theoretischer Sicht keine Rolle, ich bin zu 100% kompromittiert. Ist das wahr?

Ist es aus praktischer Sicht auch wahrscheinlicher, dass der eine oder andere im wirklichen Leben gehackt wird? Gibt es bestimmte Angriffsvektoren, die häufiger oder erfolgreicher sind und die einen oder den anderen funktionieren würden?

PS: Es ist mir egal, ob Freunde, Familie oder Anfänger Zugang zu meinem Konto erhalten. Ich frage nach intelligenten böswilligen Hackern.

97
brentonstrine

[~ # ~] note [~ # ~] Diese Antwort ist möglicherweise aufgrund von Verbesserungen in Chrome seitdem) veraltet Antwort wurde geschrieben.

Zunächst verschlüsselt Chrome tut Ihre Passwörter und andere geheime Daten. Abhängig von der Einstellung gibt es jedoch verschiedene Aspekte sowie einige Details, die Sie beachten sollten.

Auf Ihrem Computer, in Ihrem Betriebssystem

Wenn Passwörter lokal auf Ihrem Computer gespeichert werden, versucht Google, den möglicherweise vorhandenen lokalen Passwort-Tresor zu verwenden. Wenn Sie beispielsweise OSX verwenden, ist dies das Schlüsselbund des Systems. Wenn Sie unter Windows arbeiten, ist dies die Windows Data Protection API (Microsoft verfügt über eine besondere Fähigkeit zum Benennen von Produkten). Wenn Sie unter KDE arbeiten, ist dies die Wallet , in GNOME es ist Gnome Keyring .

Jedes dieser Produkte hat seine eigenen bemerkenswerten Auswirkungen. Wenn Sie beispielsweise Ihre Kennwörter jemals auf einem OSX-Gerät synchronisieren, werden diese Kennwörter in den Schlüsselbund (wie erwähnt) eingegeben, der als iCloud-Schlüsselbund umbenannt wurde. Die Auswirkungen sind genau wie sie klingen: jetzt Apple kennt auch Ihre gespeicherten Passwörter und synchronisiert sie mit Ihrem iPhone, Ihrem iPad und allen anderen Apple Geräten. Das kann sein genau das, was du wolltest. Und vielleicht auch nicht. Sei dir nur bewusst.

Die Windows Professional API für aufregende Namen und Datenschutz bietet keine derartigen Funktionen. Ihre Passwörter befinden sich auf Ihrem Computer und bleiben dort bis auf weiteres erhalten. Nennen Sie es altmodisch oder sicher. Bedenken Sie jedoch, dass Microsoft in der Vergangenheit Apple verfolgt hat und sich möglicherweise auch hier dafür entscheidet.

In der Wolke

Zusätzlich zu der oben erwähnten unbeabsichtigten iCloud-Synchronisierung synchronisiert Chrome auch Ihre Passwörter zwischen Chrome Instanzen). Dies bedeutet, dass Sie Ihre Daten an Google senden. Ja, sie sind verschlüsselt .

Wie ist es verschlüsselt? Das liegt an dir. Sie können entweder Ihr Google-Konto (Standardeinstellung) verwenden oder eine spezielle "Synp-Passphrase" festlegen. Obwohl ich keine besonderen Kenntnisse über die Interna dieser beiden Optionen habe, scheinen die Auswirkungen ziemlich einfach zu sein.

Wenn Sie Ihr Google-Konto-Passwort verwenden, werden die Passwörter ohne weitere Eingriffe von Ihrer Seite entschlüsselt. Beachten Sie, dass das tatsächliche Passwort tatsächlich erforderlich ist; Der Zugriff auf das Google-Konto allein reicht nicht aus. Ich habe Situationen gesehen, in denen Chrome es erfolgreich geschafft hat, sich anzumelden und seine Synchronisierungsdaten durch externe Autorisierung abzurufen, diese jedoch erst entschlüsseln konnte, nachdem ich das ursprüngliche Google Mail-Kennwort eingegeben habe. Der Vorteil daher Wenn Sie eine separate "Synchronisierungspassphrase" verwenden, müssen Sie sicherstellen, dass jeder, der über Ihr Google Mail-Passwort verfügt (vermutlich beispielsweise Google), nicht über Ihr Synchronisierungskennwort verfügt.

Erinnern an Autocomplete = off Passwörter

Der erwähnte geek.com-Artikel bringt einen interessanten Punkt auf den Punkt, aber dieser Punkt wird traditionell aus einer Position der ... Unaufklärung heraus argumentiert. Es ist eine gängige Position von "Befürwortern des Datenschutzes" (insbesondere die Art, für die ich diesen Begriff in Anführungszeichen setzen würde), aber die Auswirkungen auf die Sicherheit sind sehr, sehr, sehr klar und ganz klar auf der Seite von Google.

Ich habe bereits darüber geschrieben. Lies die andere Antwort und komm dann zurück. Ich werde warten.

Mach weiter.

OK zurück? OK, hier sind die kritischen Punkte, während sie in Ihrem Kopf frisch sind: autocomplete=off wurde eine Intervention hinzugefügt, um eine sehr gefährliche Funktion auszuschalten. Diese Funktion ist nicht das Speichern von Passwörtern, über das wir gesprochen haben.

Die Funktion, über die wir gesprochen haben hilft Benutzer. Das andere war ein fehlgeleiteter Versuch, nützlich zu sein, indem Formulare mit Dingen ausgefüllt wurden, die Sie auf anderen Websites eingegeben haben. Stellen Sie sich also einen Assistenten für die automatische Vervollständigung wie Clippy vor, der jedoch schlechtere soziale Fähigkeiten besitzt: "Ich sehe, dass Sie versuchen, sich bei Ebay anzumelden. Ich fülle einfach Ihr Login von Yahoo aus und wir können sehen, ob das funktioniert." Ja, wir hatten in den 90ern lustige Ideen zur Sicherheit. Sie können sehen, warum autocomplete=off in alles hinein, auch aus der Ferne sicherheitsrelevant, wurde schnell zu einem zentralen Punkt bei Site-Audits.

Im Vergleich dazu ist die Autovervollständigung, über die wir gesprochen haben, eine sehr sorgfältig kontrollierte sicherheitsverbessernde Lösung. Und wenn Sie es für überhaupt etwas verwenden, möchten Sie es für Ihre sichersten Passwörter verwenden? Warum? Phishing.

Phishing ist buchstäblich der gefährlichste Online-Angriff, dem Sie gegenüberstehen. Es ist sehr effektiv und sehr verheerend. Es bekommt nicht annähernd die Aufmerksamkeit, die es haben sollte, weil wir immer nur einen Finger auf den dummen Benutzer richten, der der syrischen elektronischen Armee sein Passwort gegeben hat. Aber die Verteidigung gegen Phishing ist wirklich sehr, sehr schwer und das Ausnutzen ist daher wirklich sehr, sehr einfach. Darüber hinaus hat ein erfolgreicher Phishing-Exploit unbegrenztes Schadenspotential bis hin zum Herunterfahren des Ganzen -bloody-Company Art von Katastrophen.

Und zum Schutz vor Phishing ist Ihre größte Waffe ein in den Browser integrierter Passwort-Manager. Es weiß, wo Ihre Passwörter verwendet werden sollen, und verhindert, dass Sie sie verwenden, es sei denn, Sie suchen tatsächlich auf der richtigen Website. Es lässt sich nicht von ähnlichen Domains oder "Site Seal" -Grafiken täuschen, es überprüft das SSL-Zertifikat und weiß wie, um das SSL-Zertifikat zu überprüfen. Es hält Ihre Passwörter gesperrt, bis Sie bereit sind, sie zu verwenden und auf die Eingabeaufforderung richtig zu starren.

Sollte der Chrome Passwort-Manager das autocomplete=off Botschaft? ENDGÜLTIGSTES JA.

Solltest du es benutzen? Wenn Sie LastPass verwenden, können Sie sich gut daran halten. Dies sollte jedoch als vernünftige Alternative angesehen werden, wenn Sie die oben genannten Einschränkungen nicht stören.

Wenn Sie nicht any Passwort-Manager verwenden, verwenden Sie diesen sofort. Es ist durch jede vernünftige Maßnahme sicher und insbesondere weitaus sicherer als nicht damit.

59
tylerl

Letztendlich war Justins Punkt derselbe wie Ihre Beobachtung, dass selbst LastPass-Passwörter zu 100% anfällig für Malware sind, die auf Ihrem Computer vorhanden ist. Auf Ihrer Maschine liegt die ultimative Sicherheit.

Der Elliot Kember-Beitrag behauptet, dass Ihre allgemeine Sicherheit erhöht wird, wenn Sie ein Hauptkennwort benötigen, um andere Kennwörter anzuzeigen. Und er hat einen gültigen Punkt. Es ist definitiv ein Vorteil, Ihre Angriffsfläche zu reduzieren, und seine Behauptung ist, dass Google diesbezüglich nicht einmal versucht. Elliot behauptet, dass Justins "falsches Sicherheitsgefühl" das menschliche Element ignoriert, dh, dass 95% der Personen, denen Sie Ihre Maschine ausleihen könnten, nicht in der Lage sind, sie auszunutzen. Wenn Sie Ihre Maschine jedoch Ihrem wertlosen Schwager ausleihen, könnte er etwas Dummes tun, das Sie einem Virus aussetzt - Ihr Schwager nutzt Sie nicht absichtlich aus, aber er ist ein potenzieller Infektionsvektor.

Alles in allem nutzt Justins Argumentation auch menschliches Verhalten aus. Wenn Chrome es anderen Personen ermöglicht, Ihre Passwörter leicht zu sehen, wäre es dumm, wenn jemand anderes sie ohne genaue Überwachung verwenden würde. Beide Seiten haben gültige Punkte.

Das unausgesprochene Problem mit Chrome) besteht darin, dass Ihr Synchronisierungskennwort mit Ihrem Google-Kennwort identisch ist, sofern Sie nicht auf eine unklare erweiterte Synchronisierungsoption klicken. Daher kann Google Ihre Synchronisierungsdatei und Ihren Zugriff standardmäßig entschlüsseln Ihre Passwörter. Sie haben jetzt Ihre Angriffsfläche so erweitert, dass Sie Google vollständig vertrauen, um alle Ihre Passwörter zu schützen. Ist Google vertrauenswürdig? Die einfache Antwort lautet, zu fragen, warum Google jemals Ihre Passwörter beschnüffeln und das Vertrauen der Menschen in sie schädigen würde. Aber übergeben sie sie den Behörden, wenn sie einen Haftbefehl und einen Nationalen Sicherheitsbrief erhalten? Diese Fragen haben unerkennbare Antworten, aber sie befassen sich mit Ihrer persönlichen Sicherheit.

Sie können jedoch noch einen Schritt weiter gehen und Ihre Sicherheit durch vertrauenswürdige Hardware verbessern. Sie können Ihr LastPass-Konto verknüpfen, um einen YubiKey für Dual-Faktor-Authentifizierung zu verwenden. Es ist ein USB-Stick, der sich wie eine Tastatur verhält, aber Sie behalten ihn neben Ihrem Hausschlüssel am Schlüsselbund. Lastpass erhält eine scheinbar zufällige Zeichenfolge, die Lastpass dann mithilfe eines Algorithmus überprüfen kann, um Ihnen Zugriff auf Ihr Konto zu gewähren. Selbst auf einem Computer, auf dem Malware die Kennwörter bei aktiver Verwendung abfangen kann, sind Ihre Kennwörter sicher, solange sie keinen Zugriff auf die Zwischenablage haben oder das Lastpass-Browser-Plugin verwenden.

10
John Deters

Sie fragen, wie Sie sicher sein können, wenn Sie davon ausgehen, dass ein böswilliger Akteur einen Prozess auf Ihrem System gestartet hat (oder einen anderen Prozess mit seinem eigenen Code entführt hat), der mit "Benutzervertrauen" ausgeführt wird.

Unter Windows können Sie diese Aktion selbst auslösen, indem Sie beispielsweise http://example.com/virus.exe Herunterladen und dann freiwillig ausführen. Selbst wenn Sie nie nach einer UAC-Eingabeaufforderung gefragt werden, ist Ihr System dennoch effektiv gefährdet.

Unter Linux können Sie diese Aktion auslösen, indem Sie eine Binärdatei (oder sogar ein Shell-Skript, Ruby Skript, Python Skript, Java jar usw.) herunterladen und erstellen es ausführbar und läuft es.

Das Sicherheitsmodell der meisten Betriebssysteme - insbesondere derjenigen, die nicht sehr spezifisch mit einer strengen Richtlinie für die obligatorische Zugriffskontrolle konfiguriert wurden, die sie aus Bequemlichkeitsgründen fast nie sofort einsatzbereit sind - ist nicht in der Lage einen Kompromiss auf dieser Ebene abmildern .

Die folgenden potenziellen Angriffsmethoden treten sofort unter Windows, Mac OS X, Desktop-GNU/Linux, Desktop-BSD, Android, iOS usw. auf, vorausgesetzt, ein böswilliger Akteur kann Code mit Benutzervertrauen auf dem System/Gerät ausführen ::

  • Maus-/Tastaturerfassung oder -injektion: Erfassen von Tastenanschlägen, Mausbewegungen/-klicks oder Einfügen der eigenen Tastatur-/Mausaktionen des Angreifers.
  • Screen Scraping oder Injection: Erfassen von Screenshots oder Videos der Anzeigeausgabe oder Injizieren der willkürlichen Daten des Angreifers auf den Bildschirm, damit Sie glauben, dass Sie eine Sache tun, während Sie tatsächlich eine andere tun.
  • Hijacking von Webbrowsern: Stehlen von Sitzungscookies und Hochladen auf einen Remote-Server.
  • Beliebiges Lesen aller Daten in Ihrem Dateisystem, auf die Sie als Benutzer manuell zugreifen können, und Senden dieser Daten an den Server des Angreifers.
  • Verwenden von veröffentlichten oder unveröffentlichten Exploits auf der System-API-Ebene (C-Bibliothek, Sicherheitsbibliotheken, Authentifizierungsbibliotheken, Kernelschnittstelle usw.), um die Berechtigungen vom Benutzer auf Administratorebene zu erhöhen und anschließend erweiterte Kompromisstechniken (Rootkits usw.) auszuführen, die nicht vorhanden sind Als normaler Benutzer ist es normalerweise nicht möglich, Daten weiter zu filtern oder den Benutzer zu verwirren, seine Passwörter oder persönlichen Informationen einzugeben, die dann verschlüsselt und exfiltriert werden

Angesichts dieser Liste möglicher Angriffsmethoden und wahrscheinlich anderer, die mir fehlen, kann kein "Passwort-Manager" aktiv verhindern, dass eine oder alle dieser Methoden ausgenutzt werden, um entweder Ihre Daten zu stehlen oder Sie glauben zu machen auf einer legitimen Website, auf der Sie dem Angreifer unabsichtlich Ihre Anmeldeinformationen oder personenbezogenen Daten übermitteln.

Sagen wir es so: Wenn Cross-Site Request Forgery und Cross-Site Scripting oder Heartbleed mit dem Öffnen Ihrer Haustür vergleichbar sind, versuchen Sie, in einem Passwort-Manager unter einem Szenario, in dem schädliche Programme ausgeführt werden, eine sinnvolle Sicherheit zu gewährleisten Benutzervertrauen ist wie der Versuch, friedlich zu schlafen, wenn Sie einen Räuber in Ihrem Schlafzimmer sehen, der Ihre persönlichen Wertsachen durchsucht und interessante in eine große Tasche steckt.

7
allquixotic

Für mich ist das so, als müsste man sagen, dass man sich nicht die Mühe machen muss, sein Auto zu verriegeln, denn wenn jemand wirklich einsteigen wollte, würde er einfach ein Fenster einschlagen.

Selbst wenn Sie Ihre LastPass-Sitzung angemeldet lassen (was nicht ratsam ist, wenn andere Benutzer Zugriff auf Ihren Computer haben), ist sie in mehrfacher Hinsicht noch stärker als bei Verwendung eines Systems, bei dem die Schlüssel werden auf der Festplatte (Chrome) gespeichert.

Auf die LastPass-Schlüssel kann nur (im Speicher) zugegriffen werden, während die Sitzung angemeldet ist, während auf die Schlüssel Chrome] jederzeit zugegriffen werden kann, wenn Sie Dateizugriff haben. Dies bedeutet, dass letztere anfällig sind eine größere Auswahl an Angriffsvektoren:

  • Selbst wenn Sie Ihren Computer physisch sicher halten und jemand Zugriff auf ein unverschlüsseltes Sicherungslaufwerk, eine Cloud-Sicherung oder eine lokale Netzwerksicherung hat, kann er Ihre Schlüssel erhalten. Beispielsweise sichern die Computer bei meiner Arbeit Benutzerprofildateien auf SMB Netzwerkfreigaben - die Dateiübertragung wird nicht verschlüsselt, sodass jeder Zugriff auf das Netzwerk oder die Festplatten des Sicherungsservers oder die Sicherung hat Festplatten oder sogar zukünftiger Zugriff auf diese Festplatten würden alle meine Passwörter erhalten, wenn ich sie in Chrome speichere.
  • Nachdem Ihr Computer gesperrt oder heruntergefahren wurde, ist es nicht möglich, auf die Schlüssel in LastPass zuzugreifen, aber die Schlüssel in Chrome befinden sich noch auf der Festplatte (vorausgesetzt, Ihre Festplatte ist nicht verschlüsselt.) A motiviert Der Angreifer kann einfach die Festplatte oder den gesamten Computer herausnehmen.
  • Wenn es sich um einen Remoteangreifer handelt, ist es weitaus einfacher, ein Schadprogramm einige Chrome - Dateien von Ihrem Benutzerkonto kopieren zu lassen, als ein Schadprogramm für den Zugriff auf die aktuell geöffnete LastPass-Sitzung zu erhalten. LastPass kann andere Software auf Benutzerebene daran hindern, auf ihren Speicher zuzugreifen und ihre Fenstereingaben zu manipulieren, und Software, die versucht, die Kontrolle über den Bildschirm oder die Tastatur zu übernehmen, kann Virenscanner alarmieren. [Beachten Sie, dass es wahrscheinlich immer noch einfach ist, Programmverknüpfungen zu ersetzen und a future Ausführung von LastPass, aber dazu müssen Sie das Eindringen nicht bemerken.]

Wenn Sie Ihren Computer entsperrt lassen und jemand auftaucht und alle Passwörter erhält, ist dies natürlich Ihre eigene Schuld, aber zumindest mit LastPass haben Sie die Möglichkeit, die Sitzung zu sperren und sie erheblich komplizierter zu gestalten.

5
codebeard

Sie gehen von "intelligenten böswilligen Hackern" aus, die schädliche Software auf Ihrem System installiert haben. Jeder Unterschied zwischen zwei Passwort-Managern ist marginal und zu diesem Zeitpunkt nur eine Frage des Glücks, keine entworfene Sicherheitsgarantie.

4
user29761

Wenn Sie sich Sorgen um die Sicherheit machen, gehen Sie zur Zwei-Faktor-Authentifizierung für den gesamten Google-Stack und verwenden Sie ein Chromebook. Weder ein Mac noch ein Windows-PC. Beginnen Sie mit Google Mail, Laufwerk, Kalender usw.

Chromebooks sind in gewisser Weise einschränkend, aber viel, viel, viel widerstandsfähiger gegenüber fortgeschrittenen dauerhaften Bedrohungen. Wenn sie eine Hintertür im Netzwerk haben, können sie Ihren Chromebook-Verkehr abfangen, aber sie können keinen dauerhaften Halt oder eine Hintertür in Ihrem Gerät bekommen. Es ist extrem schwierig.

Ich arbeite für ein Cyber-Sicherheitsunternehmen. Alle unsere Mitarbeiter werden ständig angegriffen. Ich habe ungefähr einmal im Monat einen Speicherauszug auf meinem Windows-Gerät durchgeführt und dann neu erstellt. kein Witz. sehr ermüdend.

Chromebook war eine großartige Alternative. Sicherer. Sie gewöhnen sich daran, in Arbeitsblättern und Dokumenten zu arbeiten und verwenden dann in diesem Moment Excel, Word und PDF-Adobe als Archiv für das Dokument. Eine andere und bessere Denkweise. Zusammenarbeit ist eingebaut. Kalender funktioniert super. Wenn Sie sich erst einmal an den unterschiedlichen Ansatz gewöhnt haben, mit kollaborativen Dokumenten zu beginnen, werden Sie ihn anstelle konstanter Versionen in ms office sehr mögen. aber man muss sich daran gewöhnen und es ist anders. anders ist nicht besser, anders ist anders! also sei geduldig.

3
Mike Stanley

Als Anwalt von LastPass bei der Arbeit ist die Sicherheit zwischen Chrome und Lastpass als Passwort-Manager) weitgehend gleichwertig.

LastPass verwaltet standardmäßig einen Wiederherstellungsschlüssel in Browsern (dieser kann deaktiviert werden). Selbst wenn Sie nicht angemeldet bleiben, kann jemand mit Zugriff auf Ihr Konto den Zugriff zurücksetzen, wenn er Zugriff auf Ihre E-Mail/SMS hat.

LastPass hat viele Verkaufsargumente, browserübergreifende Unterstützung, Enterprise-Funktionen usw., aber ich denke, keine davon macht es sicherer.

Das Verkaufsargument für uns ist, dass es einige grundlegende Unternehmensberichte bietet. So kann ich feststellen, ob meine Benutzer LastPass verwenden, über 2FA verfügen und zufällige (oder mindestens gleich starke) Kennwörter verwenden.

Sie können das Wiederherstellungstoken deaktivieren, den Zugriff nach Land einschränken, Geräte auf die Whitelist setzen und 2FA aktivieren. Es handelt sich jedoch weiterhin um ein Browser-Plugin mit verschiedenen komplexen lokalen Zugriffen.

1
Simon