Google schmeißt Dashlane-Erweiterung für Chrome raus
von caschy | 11 Kommentare
Nutzer des Passwortmanagers Dashlane können derzeit nicht die Chrome-Erweiterung für die Software installieren, um schnell aus dem Browser heraus auf ihre Passwörter zuzugreifen. Google hat die Erweiterung aus dem Web Store verbannt, offiziell ist die Begründung, dass man dies aus Gründen des Datenschutzes getan habe – da Dashlane sehr viele Berechtigungen voraussetzt. Dashlane hat das Problem bereits an seine Kunden kommuniziert, betroffen sind nur jene, die die Erweiterung neu installieren wollen, Bestandsnutzer sind nicht betroffen. Das Ganze ist am Wochenende passiert und aktuell sieht es so aus, dass man bei Dashlane wohl nicht weiß, was man genau tun soll, da Google wohl sehr schmallippig ist. Bei Dashlane wisse man nicht, welche Berechtigung stören soll, da bisher alle benötigt werden, damit die Browser-Erweiterung korrekt arbeitet. Man teilte aber auch mit, dass man die Nutzer alsbald informieren wolle, sofern man mehr in Erfahrung gebracht hat.
Wird geladen ...
Eine kleine, neue Firma wie Dashlane mit einem kostenlosen (Free Plan) bis günstigen (3,33€ Premium Plan) Dienst, die eine Super-Bowl-Werbung schaltet, passt für mich nicht so gut zusammen.
Ich will ja nicht paranoid sein, aber wenn ich die NSA oder ein vergleichbarer Dienst (ggf. auch aus einem anderen Land) wäre, würde ich einen Passwort-Dienst kostenlos bis günstig anbieten und dort möglichst viele Nutzer hinlotsen. Ein sprudelnder Quell von Zugangsdaten.
Dass die Chrome-Erweiterung sich ordentlich Berechtigungen gönnt, dient da nicht zur Beruhigung.
du behauptest also eine Firma sei ein u-Boot eines Geheimdienstes, und der einzige Hinweis den du hast ist, dass sie eine marketing-Kampagne fahren?
*seufz*.
Keine Ahnung von der Funktionsweise, aber fröhlich (rufschädigende) Verschwörungstheorien verbreiten.
Jawoll, dafür liebe ich Foren. Nicht.
Süß, was du dir da für Fantasien zurechtspinnst und vor der eigenen Türe sollen die Grundrechte abgeschafft werden: https://www.heise.de/select/ct/2020/2/1578411494508302
Ich behaupte nichts. Ich habe aus meiner Sicht relativ differenziert ausgedrückt, welche Gedanken mir gekommen sind, als eine Nischenfirma mit einem Nischenthema eine Super-Bowl-Werbung geschaltet hat. Passwörter sind so ungefähr das sensibelste, was man einem Unternehmen anvertrauen kann. Da darf man schon mal hinterfragen.
Sowas nennt man „Üble Nachrede“, und nein, das darf man nicht. Egal, ob Du es „behaupten“ oder „laut Nachdenken“ nennst.
Nachdem der Großteil der User wohl englischsprachig ist und der superbowl noch dazu weltweit ausgestrahlt wird, kam man eine superbowl Werbung in einer adbasierten free App wohl durchaus erwarten.
Das klingt doch ganz nach dem Pushen des eigenen Dienstes. I like.
“Da fast alle Online-Anbieter nur Hash-Werte der Passwörter speichern, dürfte die geplante Herausgabepflicht in den meisten Fällen ins Leere laufen.”
Das betrifft dann wohl so gut wie alle Dienste. 2FA dazu und gut ist. An die mglw. interessanten Sachen also kein Rankommen.
Prinzipiell ist das alles eine Sache des Vertrauens in den Anbieter. Es gab schon VPN-Anbieter, die Stein und Bein schworen, keinerlei Logs zu speichern. Bis sie dann Logs mit Userdaten an die Behörden aushändigten. Wo die wohl hergekommen sind?
Und 2FA schützt nicht vor dem Zugriff der Behörden oder Betreiber.
Ein Passwort-Manager kann die Passwörter gar nicht als Hash speichern, bzw. er könnte es tun, es bringt aber nichts, da der Passwort-Manager selbst ja dann nicht mehr an die Passwörter ran kommen könnte. Passwort-Manager speichern Passwörter also verschlüsselt (oder theoretisch auch im Klartext) ab. Hier ist die entscheidende Frage, wer den Schlüssel hat. So lange der nur in der Hand des Kunden ist, kommt der Dienst dennoch nicht dran, von Sicherheitslücken mal abgesehen, aber die könnte nicht nur der Dienst ausnutzen, die könnte jeder ausnutzen.
Bei Diensten wie Dashlane ist das eine Vertrauensfrage des Anwenders, bei Open Source könnte man nachgucken, teilweise sind Dienste auch professionell einem Audit unterzogen, da kann man das Vertrauen auf Anbieter und Audit legen.
warum soll es kein u-boot sein…? reichlich naiv, so etwas auszuschliessen…
recherchier doch mal: Snowden, Cryptoleaks, Rubikon…
PS: Dashlane wir nach eigenen Aussagen auf „only-WEB“ umsteigen….. Native App wird es nicht mehr geben.
Oberfail aus Security-Architektursicht!