Google Chrome speichert auf Wunsch, so wie jeder andere Browser auch, alle Passwörter des Nutzers in einer lokalen Datenbank und kann Passwort- und Login-Felder automatisch ausfüllen. Das ist eine Grundfunktion des Browsers und funktioniert seit vielen Jahren problemlos – jetzt könnte es bald eine interessante und vielleicht auch umstrittene Verbesserung geben. Die Entwickler arbeiten an einer Möglichkeit, das ausgefüllte Passwort direkt im Klartext anzuzeigen.
Der Chrome-Browser besitzt einen starken Passwortmanager, der nicht nur alle Eingaben des Nutzers speichern kann, sondern diese auf Wunsch auch mit den Google-Servern synchronisiert und so auch auf allen anderen Plattformen bereithält. Und wer Probleme damit hat, sich ein starkes Passwort einfallen zu lassen, kann in den meisten Fällen den integrierten Passwort-Generator verwenden, der lange und sichere Passwörter erstellt und direkt im Browser speichert.
Den normalen Ablauf kennt jeder: Man möchte sich in eine bereits bekannte Seite einloggen und der Browser hat das Loginfeld inklusive Passwort bereits ausgefüllt. Das spart nicht nur Tipparbeit, sondern hilft auch dabei, sich nicht (im besten Falle) viele Dutzend Passwörter merken zu müssen. Doch während alle Felder im Klartext dargestellt werden, ist beim Passwortfeld nur die Länge des Passworts, aber nicht das Passwort selbst zu erahnen. Dieses wird, je nach Betriebssystem, nur mit Sternen oder Punkten dargestellt.
This change implements the reveal button for input type=“password“. The button is added using same pattern as the clear/cancel button for except that instead of using -webkit-appearance to draw the button, we use svgs defined in controls-refresh.css.
A keydown handler is added to support Alt-F8 hotkey to reveal/obscure password and logics are added to make sure the reveal button only appears with direct user input. If the password is not empty in the first place (ex. autofill or value=xxx) or the control loses focus and regains focus, or the value is changed by script, the reveal button won’t show.
Derzeit ist noch die Rede davon, dass der Button nur angezeigt werden soll, wenn das Formular _nicht_ automatisch ausgefüllt wurde. Das ergibt aber kaum Sinn und wird auch intern diskutiert. Diese Regel könnte also schnell verschwinden.
Jetzt arbeiten die Chrome-Entwickler daran, dem Nutzer eine Möglichkeit zu geben, den Schleier über dem Passwortfeld zu lüften. Dafür soll es direkt unter dem Formular einen neuen Button geben, der das Passwort auf Wunsch im Klartext darstellt. Ob das einfach so funktioniert oder es zuvor eine weitere Sicherheitsabfrage geben wird, lässt sich aus der aktuellen Entwicklungsstufe nicht ablesen.
Zwei Möglichkeiten zum Auslesen der Passwörter
Schon jetzt gibt es mindestens zwei Möglichkeiten, die gespeicherten Passwörter über den Chrome-Browser auszulesen. Der offizielle Weg ist der Aufruf der Passwort-Liste über die Einstelllungen des Browsers, wo der Nutzer alle jemals eingegeben und gespeicherten Passwörter ansehen kann. Bei der ersten Abfrage muss das Benutzerpasswort des Betriebssystems als Sicherheit eingegeben werden. Genau diesen Schutz könnte es dann auch bei der neuen Funktion geben.
Der zweite Weg kommt ohne Sicherheitsabfrage aus, funktioniert aber nur bei der aktuell aufgerufenen Webseite: Öffnet einfach die Developer Options des Browsers, findet das Formularfeld input type=“password“ und ändert es einfach nur in input type=“text“. Das Formular verwandelt sich dann in ein normales Textfeld, ist aber auch weiterhin ausgefüllt. Dass der Chrome-Browser dieser Methode keinen Riegel vorschiebt zeigt, dass es wohl dennoch als einigermaßen sicher gilt.
Fraglich ist, ob die neue Umsetzung nur eine Verknüpfung zu der bisher bestehenden Funktion über die Passwortliste ist oder ob der Browser ebenfalls den Typ des Formulars ändert. Letztes wird zumindest für die Darstellung des Buttons diskutiert. Ob man das dann als Sicherheitsrisiko einstufen möchte oder nicht, ist schwer zu sagen. Immerhin braucht der Angreifer physischen Zugriff auf den Computer, den der sicherheitsbewusste Nutzer im Normalfall einfach sperrt.
Siehe auch
» Password Checkup: Neue Chrome-Extension aus dem Hause Google überprüft die Sicherheit eurer Passwörter
» Smartphone-Alltag optimieren: Drei Google-Apps unterstützen beim Traffic-sparen und schneller surfen