it-swarm.com.de

Sollte ich Browsern erlauben, sich meine Passwörter zu merken und sie zu synchronisieren?

Ich frage mich, wie klug es ist, Chrome und Firefox) zu erlauben, a) sich die Passwörter zu merken, b) sie zu synchronisieren? Mein Bauch sagt mir, dass wenn es nicht ein Mann in der Mitte ist, der sie abfangen kann, sondern Google und Mozilla sie selbst auf ihren Servern oder mit Hilfe ihrer Browser sehen können. Natürlich sagen sie, dass sie es nicht tun und die Passwörter verschlüsselt gespeichert werden, aber können wir das sicher wissen? Vielleicht senden die Browser selbst die Passwörter heimlich an Google und Mozilla.

Ich habe gerade erst angefangen, keepass zu verwenden, daher habe ich zumindest einen Ort, an dem meine Passwörter lokal gespeichert werden, da ich sie zuvor nur in den Browsern gespeichert und synchronisiert habe. Und jetzt denke ich, ich sollte sie nicht mehr synchronisieren.

76
アレックス

Um das zu erweitern, was @ d1str0 gesagt hat: Wenn der Ersteller Ihres Browsers Ihre Passwörter stehlen wollte, wäre es trivial, sie bei jeder Eingabe an einen vom Hersteller kontrollierten Server zu senden - sie müssen sich nicht die Mühe machen, es Ihnen zu sagen Informationen zu Synchronisierungsprozeduren oder zum Anbieten, sich Kennwörter zu merken. Standardmäßig senden alle Browser eine bestimmte Ebene von Nutzungsdaten zurück, normalerweise Absturzberichte und Aktualisierungsprüfungen, wodurch Kennwort- und Benutzernamendaten leicht verborgen werden können.

Wenn jedoch ein Browser dies tun würde, würde es einen Aufschrei gegen diesen Hersteller geben - sehen Sie sich die Wut an, die nach der Veröffentlichung von Windows 10 gegen Microsoft gerichtet war, wobei die Berichterstellung dort aktiviert war.

Keepass und Password Safe sind beide Open Source (bei ausreichenden Programmierkenntnissen und einem vertrauenswürdigen Compiler können Sie also sicher sein, dass sie das tun, was sie sagen, und nichts anderes - ausreichende Programmierkenntnisse können jedoch ein sehr hohes Niveau erreichen). In beiden Fällen sollten die verschlüsselten Kennwortdateien auch mit Quellen von Drittanbietern sicher synchronisiert werden können, solange das sichere Kennwort nicht angegeben wird. Das Brechen von AES (Keepass) oder TwoFish (Password Safe) ohne den entsprechenden Schlüssel (das sichere Passwort) ist, soweit wir wissen, auf brutale Gewalt zurückzuführen.

Lastpass und 1Password erfordern beide, dass Sie den Entwicklern vertrauen und standardmäßig mit einem Remotestandort synchronisieren. Theoretisch sind sie sicher, aber es gibt keine offensichtliche Möglichkeit, eine Sicherheitslücke in Bezug auf die Speicherung zu erkennen. Wenn Sie Bedenken haben, Chrome oder Firefox Passwörter zu stehlen, gelten logischerweise dieselben Argumente für diese Apps.

Persönlich verwende ich einen der genannten Cloud-basierten Passwortdienste. Ich habe die Risiken und Vorteile berücksichtigt und das Maß an Sicherheit, das ich akzeptieren möchte, gegen die Benutzerfreundlichkeit des Dienstes abgewogen und dies für meine Anwendungsfälle entschieden , es ist akzeptabel. Ihr akzeptables Risiko kann durchaus anders sein. Wenn Sie AES beispielsweise als anfällig betrachten, ist es möglicherweise sinnvoll, einen Keepass auf einem verschlüsselten USB-Stick zu schützen, der einen anderen Verschlüsselungsalgorithmus verwendet. Das Hochladen der Datei auf einen Drittanbieter kann jedoch sinnvoll sein "zu riskant" für dich.

Es kommt darauf an, was Sie für sicher halten, nachdem Sie die Optionen bewertet haben. Viele Sicherheitsexperten haben dieses Problem jedoch in Betracht gezogen und raten generell dazu, passwortsichere Software zu verwenden, anstatt Browsern das Speichern von Passwörtern zu ermöglichen, einfach weil Browser früher schrecklich darin waren - sie erlaubten den Zugriff ohne Hauptkennwort und verwendeten schlechte Verschlüsselungsmethoden. Einige dieser Probleme wurden jetzt behoben, aber alte Gewohnheiten sterben schwer!

69
Matthew

Wenn Sie sich Sorgen über Chrome oder Firefox, der Ihre Passwörter stiehlt) machen würden, würden Sie sie überhaupt nicht als Webbrowser verwenden.

Eine Anwendung wie Keepass oder LastPass kann Ihre Passwörter mit einem Hauptkennwort verschlüsseln.

Wenn Sie kein Hauptkennwort verwenden, kann Ihr Webbrowser Ihre Kennwörter jederzeit entschlüsseln.

Es liegt an Ihnen, welche Sicherheitsstufe Sie wünschen.

47
d1str0

Zusätzlich zu den Antworten zu Passwort-Managern gibt es einen Moment, in dem Sie Unsicherheiten berücksichtigen müssen.

Um das Beispiel von KeePass zu nehmen: Sie müssen nicht nur Personen vertrauen, die den Code überprüfen (oder sich selbst vertrauen, dass Sie das Wissen haben, um ihn selbst zu überprüfen), sondern auch dem Anbieter der Binärdatei vertrauen (der mit dem angekündigten Code übereinstimmt). Oder kompilieren Sie es selbst neu und vertrauen Sie darauf, dass der Compiler korrekt ist. Und dass dem Betriebssystem auch vertraut wird.

Dies ist viel "Vertrauen" und es kommt immer ein Moment, in dem Ihre Risikoanalyse erklärt, dass es "gut genug" ist. Dieses "gut genug" ist das, wonach Sie suchen sollten, im Verhältnis zu anderen Risiken .

Ich bin mit @Matthew in Bezug auf die Verwendung von Online-Passwort-Managern: Sie schützen sich vor dem wahrscheinlichsten Risiko (eine Website wird gehackt, aber Sie haben dank des Passwort-Managers eindeutige und lange Passwörter) gegenüber der Möglichkeit, dass Google/die NSA/[setzen Ihre Lieblingsorganisation hier] ist hinter Ihnen her. Wenn sie hinter Ihnen her sind, haben sie effizientere Möglichkeiten , um an Ihre Daten zu gelangen.

10
WoJ

Verwenden Sie einen gemeinsam genutzten Computer? Wenn ja oder wenn Ihre Festplatte nicht verschlüsselt ist, dann nein, lassen Sie sie keine Passwörter speichern.

Ich würde einem Browser nicht erlauben, sich mein Passwort zu merken. Ich finde es viel einfacher, einen Passwort-Manager zu verwenden. Firefox (und ich gehe davon aus, dass Chrome) erlaubt, erfordert jedoch nicht die Verwendung eines Hauptkennworts, das Ihre gespeicherten Kennwörter verschlüsselt. (Nach meinem Verständnis werden Kennwörter unabhängig davon verschlüsselt, aber ohne ein Hauptkennwort hindert niemand jemanden daran, das gespeicherte Kennwort zu verwenden Passwörter). Die meisten Leute verwenden die Master-Passwort-Funktion nicht, und ich denke, das liegt daran, dass sie aktiviert werden muss. Wenn eine Site mit Firefox 44.0.2 Ihr Passwort kennt, können Sie dies tun

Klicken Sie mit der rechten Maustaste auf das Kennwortfeld> Kennwort eingeben> Gespeicherte Anmeldungen anzeigen> Kennwörter anzeigen (der Eingabeaufforderung zustimmen).

Keine Authentifizierung erforderlich und alles ist im Klartext.

Was ist noch einfacher und funktioniert browserübergreifend?

Klicken Sie mit der rechten Maustaste auf das Kennwortfeld> Element überprüfen (kann anders benannt sein)> Ändern Sie den Typ von "Kennwort" in "Text".

Auch hier ist keine Authentifizierung erforderlich, und alles ist im Klartext.

7
TeckFudge

Für den durchschnittlichen Benutzer scheint es einen vernünftigen Kompromiss zu geben: Lassen Sie Ihren Webbrowser die weniger wichtigen speichern und den Rest sicherer speichern.

Ich habe ungefähr 100 Passwörter für verschiedene Websites im Internet. Wahrscheinlich 80 von ihnen wäre es mir egal, wenn jemand gestohlen hätte - sie könnten mich im schlimmsten Fall wie einen Idioten auf Ars Technica oder ähnlichem aussehen lassen. Mit der Site und dem Passwort ist kein Geld (oder unbedeutendes und begrenztes Geld) verbunden, und es ist kein Passwort, das ich jemals für etwas verwenden würde, das Geld hatte. Die lasse ich Chrome erinnern).

Die anderen ~ 15-20, die mir wichtig sind - Kreditkarten- und Bank-Logins, meine Krankenversicherungsseite usw. -, behalte ich in einem offline verschlüsselten Passwort-Manager. Es ist offline, also könnte es theoretisch verloren gehen (obwohl ich es auf zwei separaten Geräten habe, aber Hausbrände und dergleichen sind möglich); Alle diese Passwörter könnten jedoch (mit einigen Schwierigkeiten) wiederhergestellt werden, wenn dies unbedingt erforderlich ist. Im Allgemeinen sind sie jedoch vor Hacking geschützt, solange die Passwörter nicht von einem Hack der Site wiederhergestellt werden, ist dies natürlich ein Passwort (und dies sind eindeutige, komplexe Passphrasen, die wahrscheinlich sogar relativ sicher sind in vielen dieser Eingriffe).

Schließlich wird mein E-Mail-Passwort nur in meinem Kopf gespeichert. Dies liegt daran, dass dies die Schwachstelle ist. Ein Social-Engineering-Angriff in Verbindung mit dem Zugriff auf meine E-Mail kann es jemandem ermöglichen, Kennwörter für alle anderen Standorte wiederherzustellen/neu zu erstellen. Ich verwende E-Mails so oft, dass ich mir dieses Passwort sicher merken kann (und ich habe natürlich eine Wiederherstellungsmethode dafür, wenn nicht).

5
Joe

Ein Kompromiss besteht darin, KeePass mit der Firefox-Erweiterung KeeFox zu verwenden, mit der Sie Passwörter aus Ihrem KeePass-Passwort-Tresor mit Firefox automatisch verwenden können, ohne sie tatsächlich über Firefox zu speichern.

2
Jolly Rogr

Ein Argument dafür, dass Browser Ihre Passwörter speichern dürfen, das ich hier noch nicht gesehen habe, ist, dass es Sie vor Phishing-Angriffen schützen kann.

Chrome gibt Ihre Anmeldeinformationen automatisch ein, dies jedoch nur, wenn die URL korrekt ist. Wenn die Website gut gestaltet ist, wurde die URL von einer Zertifizierungsstelle über HTTPS überprüft. Wenn Sie zu einer Anmeldeseite gehen und Chrome hat die Anmeldeinformationen nicht automatisch eingegeben), ist dies Grund zur Sorge und überprüfen Sie, ob Sie am richtigen Ort sind.

1
Luke

Es ist ziemlich einfach: Das Vertrauen Ihrer Passwörter in einen Browser, der selbst bei guten Absichten nicht die Hauptfunktion ist, ist immer ein Problem. Insbesondere, wenn im Browser Plugins installiert sind oder wenn der Passwortspeicher selbst nicht mit einem (starken) Master-Passwort gesichert ist.

Wie groß ist das Problem? Sie müssen entscheiden. Ich lasse meine privaten Browser sicherlich Passwörter für unwichtige Websites speichern, aber nicht für mein Bankkonto oder mein persönliches E-Mail-Konto. Die Tatsache, dass viele Online-Banken es tatsächlich schwierig/unmöglich machen, dass Ihr Browser das Passwort speichert (indem Sie ein einfaches Eingabeformular durch ein ausgeklügeltes Schema ersetzen, d. H. Stattdessen mit der Maus auf einen stilisierten Nummernblock klicken müssen), sollte Ihnen etwas sagen.

Für KeePass usw. ist es genau der gleiche Gedanke, außer dass die Messlatte höher liegt. Das heißt, wenn Sie wirklich paranoid sind, werden Sie sie auch nicht verwenden, aber Sie können ihnen ein bisschen mehr vertrauen als Browsern. Wie viel liegt bei dir?.

1
AnoE

Die auf diese Weise gespeicherten Passwörter sind äußerst unsicher. Versuchen Sie einfach, auf sie zuzugreifen, und Sie werden feststellen, dass Sie auf sie zugreifen können, indem Sie Ihr Windows/Linux-Benutzerkontokennwort eingeben. Es gab und gibt wahrscheinlich Exploits, um das Kennwort des Windows-/Linux-Benutzerkontos zu ändern oder um zu überprüfen. Sie sollten daher niemals Passwörter mit hochwertigen Zielen wie ein Online-Banking-Konto speichern, insbesondere nicht auf einem Arbeitscomputer.

1

Für Online-Anmeldungen stehen Ihnen einfache Tools wie Lastpass mit guter Browser-Integration und Tools zur Verfügung, die mehr Arbeit erfordern, wie Keepass, mit denen Sie Anmeldungen kopieren und einfügen müssen. Das ist viel mehr Arbeit, wenn Sie sich täglich auf vielen Websites anmelden müssen.

Wenn Sie Lastpass (oder ähnlichen Tools) weniger vertrauen, können Sie es dennoch für Websites verwenden, die nicht so wichtig sind.

Wichtige Websites - Denken Sie an Paypal, Amazon, Ebay, bei denen der Verlust Ihres Kontos Geld kosten kann, oder an E-Mail-Konten wie Google Mail oder Hotmail, bei denen der Verlust des Kontos ein noch größeres Problem darstellt, da das Zurücksetzen von Anmeldungen auf anderen Websites möglich ist.

Weniger wichtige Websites: Melden Sie sich für ein Spieleforum, für Reddit, für ein nicht aktives Twitter-Konto, für Diskussionsforen usw. an. Gute Chance, dass Sie beweisen können, dass Sie Sie sind, und das Konto zurückfordern, Pech, wenn nicht. Es ist kein großer Verlust. Und ob Ihr Reddit-Account Ihr Leben bedeutet, ist mir wirklich egal. Also würde ich es in Lastpass speichern, aber vielleicht möchten Sie es sicherer halten. Was zu behalten ist, liegt bei Ihnen.

0
SPRBRN

Hier gibt es viele Antworten mit guten Informationen. Wie einige von ihnen betonten, investieren Sie bei jeder Verwendung von Software ein gewisses Maß an Vertrauen in diese Software.

Ich denke nicht, dass Ihr Hauptanliegen der Browserhersteller sein sollte, wenn Sie auf Browser reagieren und diese zum Speichern Ihrer Passwörter verwenden. Dies sind in der Regel größere Unternehmen, die erhebliche Investitionen in ihren Ruf tätigen. Sie werden auch ziemlich genau unter die Lupe genommen (insb. chrome und Firefox).

Die wirkliche Bedrohung geht von bösartigen Websites/Webseiten und Browser-Plugins aus. Aus diesem Grund denke ich, dass eine der wichtigsten Eigenschaften, nach denen gesucht werden muss, ist, ob der Browser es Ihnen ermöglicht, ein Hauptkennwort für die gespeicherten Kennwörter festzulegen, und ob Sie dieses Hauptkennwort eingeben müssen, bevor ein gespeichertes Kennwort verwendet werden kann.

Insbesondere Chrome wurde dafür kritisiert, dass es keine ausreichende Sicherheit in Bezug auf die gespeicherten Passwörter bietet. Ich glaube, die Situation hat sich verbessert, aber das war größtenteils auf den öffentlichen Schrei zurückzuführen.

Wenn Sie so etwas wie keepas verwenden, sehe ich keinen wirklichen Vorteil darin, Ihre Passwörter auch im Browser zu speichern. Ich verwende einen Passwort-Manager und deaktiviere die Möglichkeit für alle Browser, die ich zum Speichern von Passwörtern verwende, da dies keinen zusätzlichen Vorteil bietet.

Ich finde, die Leute verstehen den Grund für Passwort-Manager oft falsch - oder betonen die falschen Aspekte von ihnen. Viele sehen sie aus einer praktischen Perspektive. Sie ermöglichen alle praktischen Optionen, ohne zu berücksichtigen, welche Auswirkungen dies auf die Sicherheit hat - zum Beispiel das Zwischenspeichern ihres Hauptkennworts, das automatische automatische Ausfüllen usw. Während Kennwortmanager jeglicher Art praktisch sein können, besteht der eigentliche Vorteil darin, die Anzahl der Komplexe zu reduzieren Passwörter, an die Sie sich erinnern müssen. Sie müssen sich nur ein sehr komplexes und sicheres Passwort merken. Sie möchten Ihr Master-Passwort eingeben, bevor das System Ihr "echtes" Passwort eingibt. Sie möchten nicht wirklich die Möglichkeit haben, das Passwort automatisch einzugeben - akzeptieren Sie diese Unannehmlichkeiten, um sicherzustellen, dass Sie die Kontrolle behalten.

0
Tim X