Firefox & Chrome: RndPhrase: sichere und einmalige Passwörter für jede Webseite

Leser DonHæberle stellte mir per E-Mail eine Erweiterung für den Firefox und Google Chrome vor  – die Mail war voll mit Infos und so gut geschrieben, dass ich um einen Gastbeitrag bat. Lange Rede, kurzer Sinn – here we go:

Hallo zusammen. Dieser Tage bin auch auf ein Add-on gestossen, welches ich gerade in der aktuellen Diskussion zu Themen wie Passwortsicherheit in Browsern sehr passend fand. Als ich Caschy darauf aufmerksam machte, bot er mir sofort an, dieses als Gastbeitrag zu veröffentlichen, was ich natürlich gerne annehme.

In diesem Sinne vielen Dank für die Gelegenheit und noch viel mehr danke ich dir hiermit, für die sehr vielen z. T. sehr interessanten Artikel, die du unermüdlich anderen zu Verfügung stellst. Doch nun zur Sache: Was macht das Add-on RndPhrase? Es verschlüsselt Passwörter schon während der Eingabe zu einer – in Abhängigkeit von der URL und einer eigenen Passphrase – vollkommen anderen, individuell unterschiedlichen Zeichenfolge.

Wenn man z. B. „meinpasswort“ in das Passwortfeld bei http://facebook.com eingibt, wird daraus dann die Zeichenfolge „2ecostz9aowpm6jv“ erzeugt, welche dann tatsächlich verwendet wird. Das selbe Passwort bei http://google.com übergibt stattdessen die Zeichenfolge „6obdrpzzloxdi8f8“ als Passwort an die Seite.

Der Vorteil dabei: Ist ein Dritter in den Besitz des Passwortes gelangt, sei es durch einen Keylogger oder einfach nur deswegen, weil einem jemand beim eingeben zu genau auf die Finger geschaut hat, kann er damit dennoch nichts anfangen.

Das tatsächlich verwendete Passwort ist ein vollkommen anderes, als das, was im Eingabefeld verwendet wurde. Nächster Vorteil: Man kann auf allen Seiten das gleiche Passwort verwenden und dennoch wird bei jeder URL eine andere Zeichenfolge erzeugt. Bedeutet: Wurde das tatsächliche Passwort durch einen Trojaner lokal oder auf der Webseite gekapert, kann man sich damit trotzdem nirgendwo anders einloggen.

Nun wird man sich fragen: Naja – dann installiert sich der Dritte eben die gleiche Erweiterung, dann wird aus mein „meinpasswort“ auch wieder die gleiche Zeichenfolge. Genau dafür kann man aber eine persönliche Passphrase – einen „Seed“ – vorgeben, mit der die erzeugte Zeichenfolge zusätzlich verschlüsselt wird.

Beispiel: Wurde als Seed in den Einstellungen „test123“ vorgegeben, so ergibt die Eingabe von „meinpasswort“ bei http://facebook.com die Zeichenfolge „7hefnijq2ol7v06p“ bzw. „0dha7xzmc2nj5e3u“ bei http://google.com – also eine völlig andere wie zuvor. Testen lässt sich das Ganze auch unter http://rndphrase.appspot.com.

Wie funktioniert das Ganze? Add-on installieren. Seed in den Einstellungen vorgeben. Fertig. Damit das Add-on weiß, wann es die Eingabe in einem Formularfeld umwandeln soll, gibt man dort als erstes Zeichen ein „@“ ein.

Das Zeichen verschwindet dann gleich wieder, die Hintergrundfarbe des Feldes ändert sich und signalisiert nun, dass RndPhrase nun die Eingabe übernimmt.

Also wenn man das nächste mal seine Passwörter wieder ändert, dann ist das die beste Gelegenheit gleich RndPhrase zu verwenden. Das Add-on lässt sich auf den gängigen Erweiterungsseiten für Firefox und Chrome herunterladen.

Wer stets die aktuellste Version verwenden möchte, kann sich den Sourcecode der Erweiterung direkt herunterladen. Ein Linux-Installer für Firefox, Chrome und Conkeror liegt bei. Eine kurze Anleitung dazu findet man ebenfalls auf der anfangs verlinkten Wiki-Seite.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

35 Kommentare

  1. Aber wie sieht es aus, wenn eine Seite die URL ändert, kann man dann den Accouunt vergessen, weil man an das „richtige“ Passwort nicht mehr ran kommt?

  2. Zuerst: Genial! Dann: Da ich relativ viel unterwegs bin und (leider) nicht immer an meinem eigenen Computer sitze, wie logge ich mich aus dem Internetcafé/von einem fremden Computer ein?

  3. Und was ist, wenn ich mich mal schnell wo anders (an einem anderen PC, am iPad, oder sonstwo) in meinen Mailaccount einloggen will? Oder wenn ich Facebook auf meinem Handy nutze?

  4. hm, ist mir gerade zu hoch. Ich habe also bei z.B. Facebook mein Passwort auf „2ecostz9aowpm6jv“ gesetzt (richtig?). Gebe aber „meinpasswort“ ein, und er loggt sich ein? – Mein „richtiges“ Passwort bleibt aber – da es ja bei Facebook im System liegt – immer „2ecostz9aowpm6jv“ ? richtig?

  5. @Fredyy: dann nimmt man den Passwortgenerator, auf den im Artikel verlinkt wurde 😉

  6. @Etth: Private Passwörter auf fremden PCs zu verwenden, ist an sich schon ziemlich bedenklich. Wenn es um die Sicherheit von Passwörtern geht, sollte man diese auch nur auf eigenen Systemen verwenden, von denen man auch halbwegs sicher sein kann, dass sie nicht ohnehin schon kompromitiert wurden oder per VNC überwacht werden. Aber grundsätzlich hast du natürlich recht: Die Erweiterung ist noch neu und sollte natürlich für mobile Browser ebenfalls noch unterstützt werden.

  7. Ich muß mich meinen „Vorrednern“ anschließen. Meiner Meinung nach auch nur praktikabel wenn man sich nur von daheim einlogged, sonst muß man das AddOn auf dem Fremden Rechner installieren oder sich „2ecostz9aowpm6jv“ merken 🙁

    Oder den Passwortgenerator um sich „2ecostz9aowpm6jv“ wieder errechnen zu lassen aus Seed und eigentlichem Passwort. Irgendwie umständlich.

    @Freddy: hab den Generator eben mal getestet. Das Passwort wird nur bis maximal bis zur TLD generiert, für Unterseiten (z.B. facebook.com/index.php) gibt es also keinen. So müßte also die TLD wechseln oder der Domainname, um ein neues Passwort zu benötigen.

    So gut die Idee dahinter ist, aber da ich oft von unterwegs z.B.F Facebook benutze ist mir das zu umständlich immer erst vorher den Generator aufzurufen.

  8. Ich hätte da ein ganz komisches Gefühl mir ein Plugin in der Browser zu hauen, dass den Zweck hat mit meinen Passwörtern was zu machen.

    Ich erkläre hier auch gerne meine Befürchtungen – wir haben vor einiger Zeit ein Observation Plugin für den Firefox entwickelt (war Teil einer Hackingaufgabe beim Swiss Cyber Storm).
    Ich möchte jetzt natürlich nicht dem Entwickler unterstellen, dass er was eingebaut hat – aber ich muss halt daran denken, dass man wenn man sich mit der Authentifizierung beschäftigt, man mit Sicherheit auch auf diese Möglichkeit des Passwortdiebstahls stößt.

    Die Grundidee finde ich trotzdem Klasse 🙂

  9. @blub: Du denkst zu kompliziert: Wenn du dein Passwort irgendwo ändern willst, dann gehst du auf die entsprechende Seite und im Passwortfeld gibst du erst ein „@“ ein, danach (Hintergrundfarbe des Eingabefeldes ändert sich sobald RndPhrase aktiviert ist) „meinpasswort“ (um bei dem Beispiel zu bleiben). Wenn du dich später irgendwann wieder einloggst, dann gibst du im Passwortfeld wieder ein „@“ ein und anschließend wiederrum „meinpasswort“. Die tatsächlich verwendete Zeichenfolge musst du nirgends eingeben; das erledigt RndPhrase für dich.

  10. @blub: Um deine Frage noch zu beantworten: Richtig! 😉

  11. Ich kann euch auch die Erweiterung pwdhash für Chrome: https://chrome.google.com/extensions/detail/dnfmcfhnhnpoehjoommondmlmhdoonca?hl=en und Firefox: https://addons.mozilla.org/en-US/firefox/addon/1033/ empfehlen.
    Dieses erzeugt auch anhand der URL und einem Standardpasswort ein neues. Das Ganze lässt sich auch ohne Erweiterung auf der Website nutzen: https://www.pwdhash.com/
    Wird übrigens von der Stanford University entwickelt.

  12. Ist kompatibel mit Lastpass. Lastpass speichert das generierte Passwort, dadurch gibt es auch kein Vergessen.

    So soll es sein. Prima Sache!

  13. Wow klasse Tipp,

    da ich auf login seiten vorallem mit Opera bin, warte ich mal noch bis für den auch ein addon drausen ist, ansonsten echt genial

  14. @tobi: PwdHash erlaubt aber keinen eigene, zusätzliche Passphrase und hat damit auch die eingangs genannten Nachteile.

  15. Moin,

    ich verwende seit langem eine ähnliche Erweiterung. https://addons.mozilla.org/de/firefox/addon/1033/

    Im wesentlichen sehe ich jeweils ein Argument das für die eine und gegen die andere Erweiterung spricht.

    Erweiterungsautor -> Ohne brinchj zu kennen ist mir deutlich wohler bei einer Erweiterung an der u.a. Blake Ross mitentwickelt hat.

    Salt -> Die Verschlüsselung durch ein individuelles Salt abzusichern spricht für RndPhrase.

    Wenn man neben einer der beiden Passwort-Erweiterungen andere Addons nutzt und diese aus unsicheren Quellen stammen (z.B. Mozilla Sandbox) ist es aber wahrscheinlich aber vollkommen irrelevant, ob das jeweilige Passwort Addon sicher ist.

  16. Ich kann da nur http://passwordmaker.org/ empfehlen – generiert auf jeder Plattform für URL+Masterpasswort random hashes nach eigenen Vorgaben. Generatoren für „oh was mache ich wenn ich ohne Hemd und Hose unterwegs bin“ sind in unzähligen Massen vorhanden (als Beispiel: http://www.hansche.de/android/apoma/)

  17. @El Burro: Großartiges Teil! Ist in der Tat deutlich vielversprechender und flexibler. Einziger Haken: Der Online-Generator bietet keinen verschlüsselten Seitenzugang (HTTPS) an, falls man doch einmal darauf zurückgreifen möchte, womit die Übertragung der supersicheren Passwörtern in geteilten Netzen schon per se wieder unsicher ist. Sonst: Top! Vielen Dank für den Tipp! Das Ding könnte man auch mal hier im Blog vorstellen … 😉

  18. @DonHæberle: Vielleicht hilft der Abschnitt „Is this page secure?“ unter der ganzen Formularseite http://passwordmaker.org/passwordmaker.html weiter. Klingt wenigstens plausibel.

  19. @werner 67: Auf was genau willst du hinaus?

  20. @Don

    zum Thema https und Onlinegenerator ist weiter unten nach zu lesen:

    IS THIS PAGE SECURE?
    This page uses only javascript and html to generate passwords. There is no form submission — purposefully — so there is no way for the server to see or store your passwords (including the master). It would be a security risk to send passwords over an HTTP (not HTTPS) connection, and also to store them whatsoever (even encrypted) on a server; not to mention a violation of your privacy.

    😉

  21. @Ron: Ich hab den Abschnitt durchaus gelesen. Diesen nochmal extra hierher zu kopieren war nicht nötig. Werner hat ja klar gemacht was er meinte – aber nicht worauf er mit der Bemerkung „dass dies vielleicht weiterhelfe“ hinaus wollte. Denn diese Erklärung ist für mich keine Problemlösung.

    Dass die Vermeidung von HTTPS (ironischerweise aus Sicherheitsgründen) wohl beabsichtigt ist, ändert nichts an der Problematik. Wenn man dennoch mal ohne einen lokal vorhandenen Generator auskommen muss, ist die Online-Variante die einzige Alternative – und diese lässt sich aus o. g. genannten Gründen (in geteilten Netzen) nicht verwenden.

  22. Das ist ja mal eine geniale Erweiterung! Hoffentlich gibt’s das irgendwann dann auch für Opera 11!

  23. Ne echt schicke sache aber ohne Mobile Nutzung abgesehen von der Webseite nicht so wirklich prall. Aber durchaus Aussbaufähig sollte man beobachten.Aber wer Lastpass, Keepass und so weiter nutzt für den machts keinen sinn.Weil diese Add ons das Passwort bzw den Login Namen auch direkt einfügen.Also ist ein Keylogger keine Gefahr auch das über die Schulter schauen nicht da sich Passwörter ja direkt in * verwandeln bzw der Autologin von Lastpass ist so schnell das kann sich wohl kaum einer merken.

  24. Das zusätzlich Schutz gegen Keyloggern klingt verlockend, das Problem liegt aber darin, dass die modernen Troyaner sich direkt in das Firefox Prozess einklinken und das ganze Internetverkehr dann mitschneiden 🙁

  25. Das heisst doch aber auch, dass ich mich nur mit diesem add-on anmelden kann, richtig? Mit dem Handy schnell von unterwegs aus, oder bei einem Kollegen -schnell mal- bei gmx anmelden geht dann nicht, wenn ich das richtig verstanden habe. Ich find die Idee aber super. Und vielen Dank für den Beitrag!

  26. @DonHæberle:
    „Wenn man dennoch mal ohne einen lokal vorhandenen Generator auskommen muss, ist die Online-Variante die einzige Alternative – und diese lässt sich aus o. g. genannten Gründen (in geteilten Netzen) nicht verwenden.“

    Falsch, da ist SSL eben NICHT nötig, simpel weil die auf der angezeigten Webseite eingetragenen Werte/Einstellungen/Masterpasswort LOKAL im Browser per JS zum richtigen Passwort generiert werden. Es sind KEINE Upload-Forms, es wird dabei also nichts übers Internet übertragen -> kein SSL nötig.

    Steht aber eben so auch deutlich in dem von Ron nochmals zitierten Abschnitt…

  27. @Stebs: Du hast recht. Gestern Abend stand ich wohl auf dem Schlauch und hatte keinen freien Kopf mehr. Hatte mich da gedanklich irgendwie verrannt. Heute morgen wurde es mir auch klar. Danke dennoch. 😉

  28. @DonHæberle: Ich hab’s so wie Ron bzw. Stebs gemeint. Mea culpa, ich drück mich nächstes Mal deutlicher aus. 😉

  29. Also gegen Keylogger ist auch „KeyScrambler“ gut geeignet.
    https://addons.mozilla.org/de/firefox/addon/3383/ oder http://www.qfxsoftware.com/
    Verschlüsselt im Firefox jede Eingabe,wie z.B. auch Passworteingaben so das sie nicht ausgelesen werden können.

    Gruß Juanes

  30. Hört sich verdammt riskant an, alle Passwörter zu verfremden und diese dann über so einen Flaschenhals laufen zu lassen. Würd‘ ich niemandem empfehlen…

  31. Interessante Erweiterung. Ich glaube ich bleibe aber weiter bei [url=https://addons.mozilla.org/de/firefox/addon/4429/]Secure Login[/url]für den Firefox, einloggen mit einem Klick ohne das man Eingaben sieht oder mitloggen kann.

  32. @uniquolol:
    Warum?

  33. Ich benutze auf meinem Notebook den NumberLock zur Passworteingabe.
    Gebe ich z.B. „politiker“ ein, wird im Passwortfeld *635t52er eingetragen. Ob das allerdings eine gute, bzw. halbwegs effektive Idee ist, kann ich nicht mit Bestimmtheit sagen, mich würde Eure Meinung dazu interessieren.

  34. @kachel:
    Imho nein, ist es nicht – das Wort bleibt ein „Dictionary-Word“ und ist damit relativ leicht zu knacken.

    Ich würde stattdessen nur einzelne Buchstaben durch Zahlen ersetzen, z.B. das „E“ durch die Zahl „3“ o.ä. Und vor allem natürlich _KEIN_ „Dictionary-Word“ benutzen. 😉

  35. @Jörg

    Danke für die Info. War halt eine Idee. Allerding ersetzt der NumberLock Buchstaben z.B. durch Zahlen und Zeichen. Wer nicht weiß, dass der Numberlock aktiviert ist?

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.