Google Chrome: Passwortspeicher als potenzielle Sicherheitslücke?
Im Web und unzähligen Blogs machen gerade Berichte über eine „Sicherheitslücke“ in Google Chrome die Runde, mit dem alle gespeicherten Passwörter im Klartext angezeigt werden können. Allerdings handelt es sich dabei um eine Standard-Funktion über die auch andere Browser verfügen und bereits seit vielen Jahren in Chrome integriert ist.
Um Formulare automatisch ausfüllen zu können speichert Chrome standardmäßig nicht nur Eingaben in Textfeldern sondern bewahrt auch die eingegebenen Passwörter auf Dauer in seinem Speicher auf. Diese Daten können dann nachher in den Einstellungen wieder aufgerufen werden – inklusive der Passwörter. Einen weiteren Schutz gibt es nicht, so dass die Passwörter mit 2 Klicks angezeigt werden können.
Unter der URL chrome://settings/passwords kann die Liste aller gespeicherten Passwörter einfach aufgerufen werden. Ein Klick auf den gewünschten Eintrag bringt den „Show“-Button zum Vorschein, der anschließend das Passwort im Klartext anzeigt. Auch ein markieren und kopieren dieses Passworts ist möglich und kann so leicht wieder verwendet werden.
Viele Blogs werfen Google nun einen unsicheren Umgang mit den Daten vor und schreien laut auf, dass alle Passwörter im Klartext gespeichert werden. Dazu wäre nun zu sagen, dass die Passwörter zwar im Klartext gespeichert, aber nicht ohne weiteres von einem Algorithmus ausgelesen werden können – der Angreifer muss also physischen Zugang zum PC haben. Vor jedem abspeichern eines Passworts holt sich der Chrome-Browser die Erlaubnis vom Nutzer – dieser weiß also sehr wohl bescheid dass diese Eingaben gespeichert worden sind.
Offiziell hat Google noch nicht reagiert, ein Entwickler aus dem Chrome-Team hat sich aber in einem kurzen Kommentar geäußert:
I appreciate how this appears to a novice, but we’ve literally spent years evaluating it and have quite a bit of data to inform our position. And while you’re certainly well intentioned, what you’re proposing is that that we make users less safe than they are today by providing them a false sense of security and encouraging dangerous behavior. That’s just not how we approach security on Chrome.
Google hat also derzeit keine Pläne, Änderungen an der Funktion vorzunehmen und hält an dieser fest. Auch die Einführung eines Master-Passworts zum Schutz aller anderen Passwörter ist derzeit keine Option und würde die Nutzer, so der Entwickler, nur in falscher Sicherheit wiegen.
Über die exakt gleiche Funktion verfügt auch der Firefox-Browser, der ebenfalls eine Liste aller gespeicherten Passwörter anzeigen kann: Zwar wird vor dem Anzeigen noch einmal nachgefragt ob man dies wirklich tun möchte – aber das hält einen potenziellen Passwort-Dieb wohl kaum von seiner Mission ab.
Und wenn tatsächlich eine nicht vertrauenswürdige Person an den eigenen PC / Laptop kommt – der dann noch dazu wohl nicht mit einem Passwort geschützt ist – muss man sich sowieso fragen ob der große Fehler nicht wieder einmal VOR als hinter dem Bildschirm gesucht werden muss 😉
[HuffPost]
GoogleWatchBlog bei Google News abonnieren | GoogleWatchBlog-Newsletter
Ist es denn wirklich sicher, dass diese unverschlüsselt gespeichert werden?
Dass Chrome die anzeigen kann ist ja nicht schlimm, solange sie nicht im Klartext auf der Platte liegen.
Immerhin muss die Funktion das Passwort ja kennen, um es eingeben zu können…
Wait. Chrome speichert die PWs intern im Klartext? Und es braucht keine erneute Master-PW Eingabe um sie anzuzeigen? Halte ich für mehr als fahrlässig.
Passwörter speichert man im allg. nie im Klartext ab. Niemals nie. Stichwort hash und salt. FileZilla wird genau dieses Vorgehen seit Jahren vorgeworfen und hat ihn in vielen Unternehmen auf die Blacklist für Software gebracht.
Mir der Argumentation von Google könnte man getrost alle PasswortSafes wie KeePass für überflüssig erklären.
Und nichts anders ist der PW Speicher eines Browsers — zumindest für den Standard-Benutzer.
ps: Firefox bietet übrigens eine Master PW Funktion.
Das Master PW fehlt in der Tat. Wie ich aber schon oben geschrieben habe, ist es erstens nicht erkennbar, wie die Passwörter gespeichert werden und zweitens ist der von dir vorgeschlagene Hash nicht möglich, da sie sich ja wieder entschlüsseln lassen müssen, um auf der Website eingegeben werden zu können.
Ich versteh ja das ein GWB nicht gegen Google ist, dennoch ist der Passwort Manager von Chrome einer der einfachsten um die Passwörter zu entschlüsseln. Zeigt ein aktueller Vergleich zwischen Chrome, Firefox und IE. Google muss sich hier nicht rühmen.
http://raidersec.blogspot.ch/2013/06/how-browsers-store-your-passwords-and.html
Dies sehe ich auch so. Wer seinen Rechner nicht gegen fremde Zugriffe schützt und bei dem man anschließend alle Passwörter stiehlt, braucht sich nicht wundern.
Im Google Chrome würde ich mich auch nur auf den eigenen Rechern einlogen. Auf fremden Rechnern hilft immer noch die doppelte Authentifizierung von Google, wenn man sich einmal in seinen Account einlogen will.
Ich sehe da überhaupt kein Problem.
Über den Seitenquelltext lassen sich gespeicherte Passwörter ohnehin auslesen, auch beim Firefox und allen anderen mir bekannten Browsern. Da hilft es auch nicht, wenn das Passwort vermeintlich sicher im Browser gespeichert ist.