Passwörter in Google Chrome speichern: praktisches Feature oder unterschätzte Gefahr?
Seit ein paar Tagen macht die Meldung die Runde, dass Passwörter, die mit dem Passwort-Manager in Chrome gespeichert werden, sehr einfach angezeigt werden können. Bug oder Feature? Was auch immer es ist, es ist nicht neu. Firefox führte zur Sicherheit bereits ein Master-Passwort ein, das eingegeben werden muss, bevor man die Passwörter angezeigt bekommt.
Das Feature, sich Passwörter anzeigen lassen zu können, nutze ich seit dem Zeitpunkt, als die Passwortspeicher in die Browser Einzug hielten. Erlangt ein Fremder Zugriff auf meinen PC und somit die gespeicherten Passwörter, weil ich in Chrome noch angemeldet bin, ist dies vermutlich das kleinste Problem, das ich habe.
[werbung] Aber was ist nun dran? Hat Google hier tatsächlich geschlampt? Sollte es einem nicht bewusst sein, dass Passwörter mit wenigen Klicks aus einem angemeldeten Google-Konto einsehbar sind? Für mich ist das logisch, für Euch vermutlich auch, aber ist es das für Lieschen Müller ebenfalls? Hat man erst einmal Zugriff auf einen Chrome-Account, ist es eine Sache von Sekunden, sich die gespeicherten Passwörter über „chrome://settings/passwords“ anzeigen zu lassen.
Alternativen gibt es natürlich. LastPass oder 1Password seien hier genannt. Google wird daran auch nichts ändern. Kein Master-Passwort, weil man den Nutzern kein falsches Sicherheitsgefühl vermitteln will. Der Nutzer soll sich bewusst sein, in welchen Schwierigkeiten er steckt, falls jemand Zugriff auf sein System bekommt.
Nutzt Ihr das in den Browsern integrierte Passwort-Management oder setzt Ihr auf einen alternativen Dienst? Seht Ihr eine Gefahr im Verhalten des Chrome Browsers oder ist es nur ein Aufbauschen eines längst bekannten Umstandes?
Wird geladen ...
Ich setze seit ein paar Wochen auf Lastpass und bin mehr als zufrieden mit der Lösung. Grund für den Umstieg war übrigens ein Posting von caschy!
Ich finde es immer wieder richtig, die Situation in den Medien zu schildern. Dann kann man entsprechend handeln (z.B. wichtige Kennwörter aus dem Browser entfernen und den PC absichern).
Korrigiere: Nutze Keepass nicht Lastpass… da hat mich wohl der Blogpost noch zu sehr beschäftigt 😉
Ich muss zugeben, ich nutze es auch. Manchmal habe ich auch ein ungutes Gefühl dabei, aber es ist so praktisch 🙂
Dafür achte ich immer darauf, Windows zu sperren wenn ich mal nicht am Computer/Laptop bin…
ich selber hab noch nie passwörter vom browser speichern lassen…
ich habe dann immer das gefühl dass ich irgendwann das passwort vergesse wenn ich es nicht immer wieder mal eingeben muss (:
Also Ich verstehe die Aufregung nicht. Ob man nun mittels 2-3 Klicks über die Optionen rankommt oder ne spezfische lokale URL aufruft. Wenn man weiß, wie man dran kommt ist der Weg doch egal.
Dieses Feature, mir das Passwort anzeigen zu lassen, nutze ich sehr regelmäßig. In Zeiten, wo man sein Passwort sehr oft speichert und kaum noch eingibt, vergisst man es schnell. Oder auch bei Diensten, bei denen ich mich monatelang nicht einlogge. Ohne dieses Feature, wäre ich wohl des Öfteren aufgeschmissen ^^
Dass Chrome Passwörter ungesichert speichert weiß ich schon, seit ich diesen Browser nutze, da ich mich direkt darüber wunderte dass es keine Möglichkeit gibt ein Master Passwort zu setzen. Wenn man einen Rechner mit verschlüsselter Festplatte nutzt und Besucher in einen anderen Account einloggt, dann hat man auch kein Problem damit.
Dass ich jemanden an meinen Rechner lasse, dem ich nicht vertraue, wird nie in meinem Standard-Account geschehen und verlasse ich den Rechner wird er immer gesperrt.
Es gibt keine 100% Sicherheit, aber so muss ich nur das Systempasswort eingeben und nicht noch eins im Chrome – es ist also irgendwo auch Komfort.
Ansonsten kann ich Caschy nur zustimmen dass es mit 1Password und Co. genug Tools gibt um es „nachzurüsten“ wenn man es denn möchte. Es ist ja niemand gezwungen die Chrome-eigene Passwort-Funktion zu nutzen und sie lässt sich in den Einstellungen deaktivieren.
Ich speicher meine Passwörter immer in Chrome. Dank Sync hab ich die dann sowohl zuhause als auch im Büro. Ich könnte zwar auch darauf verzichten, weil meine Passwörter einen bestimmten Aufbau haben und ich sie mir dadurch leicht merken kann – aber das ständige Eingeben würde mir mit der Zeit auf den Kranz gehen.
Abgesehen davon sind meine Rechner ohnehin zusätzlich passwortgeschützt (auch zuhause, wo außer mir keiner an den Rechner geht). Aber wer an die Passwörter ran will, kommt da auch ran.
Ich bin ohnehin kein Fan von zuviel Sicherheit. Das mag man jetzt interpretieren, wie man will. Irgendwann verlernen wir auf unseren Menschenverstand zu hören und unsere natürliche Vorsicht zu nutzen, wenn uns von allen Seiten Möglichkeiten geboten werden irgendwas sicher zu machen.
Ich habe dies Passwörter bis jetzt auch immer im Chrome gespeichert.
Will aber eigentlich schon länger da weg.
Ich will diese irgendwie auf dem eigenen Rechner oder auf einem eigenen Server speichern. Und das am besten das diese dann auch automatisch eingetragen werden und auch automatisch gespeichert werden.
Gibts es dazu irgendwelche Lösungen?
Nutze zwar Chrome nicht sondern den Fox, aber auch mir ist klar – das wenn ich eingeloggt bin, wer ran kommen will und etwas drauf hat, auch ran kommen kann.
Anders wird mir nur bei der Vorstellung, das NSA, BND und Sonstnochwer all unsere Passwörter kennen, bzw. sie gar nicht mal brauchen. Bedenklich besonders in Anbetracht, das die Firmen die die dafür notwendige Software liefern – rein kommerziell handeln und wahrscheinlich ebenfalls Zugriff auf Alles haben :/
Also ich Speicher schon seit Jahre keine Passwörter mehr. Viel zu unsicher. Egal ob „LastPass oder 1Password“. Ich hab meine Passwörter die ich mir nicht merken kann auf einem Crypted USB-Stick oder auf dem Papier.
Also ich muss im FF unter Extras – Einstellungen -Sicherheit – Gespeicherte Passwörter *kein* Master-Passwort eingeben, um die Passwörter anzuzeigen. Ich müsste also als Lieschen Müller erst einmal ein Master-Passwort vergeben, richtig? Ich seh‘ jetzt nicht, wo der Firefox da sicherer sein soll als Chrome.
Generell verwalte ich meine Passwörter mit KeePass. Die Vorteile meiner Meinung nach ist die einfache Bedienung und die übersichtliche Oberfläche 🙂
Um die Passwort-DB auf jedem Rechner zur Verfügung zu haben liegt die nochmal in einem TrueCrypt-Container in der Dropbox 😀
Beide mit unterschiedlichen Passwörtern mit > 24 Zeichen Länge.
Ich nutze, ebenfalls dank Caschy, LastPass.
Gibt mir ein ganz gutes Gefühl bezüglich der Verschlüsselung der Daten.
Dort kann man sich über den Punkt „My LastPass Vault“ seine Kennwörter übrigens auch im Klartext anzeigen lassen, ohne vorherigen Zauber wie „Masterpasswort“.
Die Argumentation des Chrome Sicherheitsteams kann ich für mich nachvollziehen.
Ich speichere keine Passwörter im Browser. Habe alle meine Passwörter auf einem Blatt Papier aufgeschrieben. Seit ein paar Tagen probiere ich Dashlane aus, um Passwörter zu verwalten.
Dieses Theater….
Ich speichere meine Passwörter immer. Sollte jemand Zugriff auf mein Linux-Konto haben, dann hab ich halt pech gehabt, die Passwörter wären das kleinste Übel. Beim IE könnte man das selbe Theater veranstalten, beim Opera auch und bestimmt auch beim Safari.
[quote=“du sagst“]bevor man die Passwörter angezeigt bekommt.[/quote]
das muss nicht sein wenn das Masterpasswort nicht vergeben ist geht es auch ohne, noch besser finde ich Lastpass aber das muss jeder selbst entscheiden…
Firefox Sync + für Cross-Browser-Sync lastpass. Natürlich mit Autologin, sonst ist es keine Arbeitserleichterung.
Das Fehlen eines Masterpassworts ist für mich der Grund, wieso ich Chrome nicht nutze. Ein „falsches Sicherheitsgefühl“ halte ich für Unsinn. Mir geht es einfach darum, dass eben nicht jede Lieschen Müller die Möglichkeit hat, meine Passwörter ohne Aufwand zu sehen.
Ein Masterpasswort ist mit Sicherheit auch nicht unknackbar, aber es schränkt die Zahl an möglichen „Angreifern“ doch erheblich ein.