Firefox & Chrome: RndPhrase: sichere und einmalige Passwörter für jede Webseite
Leser DonHæberle stellte mir per E-Mail eine Erweiterung für den Firefox und Google Chrome vor – die Mail war voll mit Infos und so gut geschrieben, dass ich um einen Gastbeitrag bat. Lange Rede, kurzer Sinn – here we go:
Hallo zusammen. Dieser Tage bin auch auf ein Add-on gestossen, welches ich gerade in der aktuellen Diskussion zu Themen wie Passwortsicherheit in Browsern sehr passend fand. Als ich Caschy darauf aufmerksam machte, bot er mir sofort an, dieses als Gastbeitrag zu veröffentlichen, was ich natürlich gerne annehme.
In diesem Sinne vielen Dank für die Gelegenheit und noch viel mehr danke ich dir hiermit, für die sehr vielen z. T. sehr interessanten Artikel, die du unermüdlich anderen zu Verfügung stellst. Doch nun zur Sache: Was macht das Add-on RndPhrase? Es verschlüsselt Passwörter schon während der Eingabe zu einer – in Abhängigkeit von der URL und einer eigenen Passphrase – vollkommen anderen, individuell unterschiedlichen Zeichenfolge.
Wenn man z. B. „meinpasswort“ in das Passwortfeld bei http://facebook.com eingibt, wird daraus dann die Zeichenfolge „2ecostz9aowpm6jv“ erzeugt, welche dann tatsächlich verwendet wird. Das selbe Passwort bei http://google.com übergibt stattdessen die Zeichenfolge „6obdrpzzloxdi8f8“ als Passwort an die Seite.
Der Vorteil dabei: Ist ein Dritter in den Besitz des Passwortes gelangt, sei es durch einen Keylogger oder einfach nur deswegen, weil einem jemand beim eingeben zu genau auf die Finger geschaut hat, kann er damit dennoch nichts anfangen.
Das tatsächlich verwendete Passwort ist ein vollkommen anderes, als das, was im Eingabefeld verwendet wurde. Nächster Vorteil: Man kann auf allen Seiten das gleiche Passwort verwenden und dennoch wird bei jeder URL eine andere Zeichenfolge erzeugt. Bedeutet: Wurde das tatsächliche Passwort durch einen Trojaner lokal oder auf der Webseite gekapert, kann man sich damit trotzdem nirgendwo anders einloggen.
Nun wird man sich fragen: Naja – dann installiert sich der Dritte eben die gleiche Erweiterung, dann wird aus mein „meinpasswort“ auch wieder die gleiche Zeichenfolge. Genau dafür kann man aber eine persönliche Passphrase – einen „Seed“ – vorgeben, mit der die erzeugte Zeichenfolge zusätzlich verschlüsselt wird.
Beispiel: Wurde als Seed in den Einstellungen „test123“ vorgegeben, so ergibt die Eingabe von „meinpasswort“ bei http://facebook.com die Zeichenfolge „7hefnijq2ol7v06p“ bzw. „0dha7xzmc2nj5e3u“ bei http://google.com – also eine völlig andere wie zuvor. Testen lässt sich das Ganze auch unter http://rndphrase.appspot.com.
Wie funktioniert das Ganze? Add-on installieren. Seed in den Einstellungen vorgeben. Fertig. Damit das Add-on weiß, wann es die Eingabe in einem Formularfeld umwandeln soll, gibt man dort als erstes Zeichen ein „@“ ein.
Das Zeichen verschwindet dann gleich wieder, die Hintergrundfarbe des Feldes ändert sich und signalisiert nun, dass RndPhrase nun die Eingabe übernimmt.
Also wenn man das nächste mal seine Passwörter wieder ändert, dann ist das die beste Gelegenheit gleich RndPhrase zu verwenden. Das Add-on lässt sich auf den gängigen Erweiterungsseiten für Firefox und Chrome herunterladen.
Wer stets die aktuellste Version verwenden möchte, kann sich den Sourcecode der Erweiterung direkt herunterladen. Ein Linux-Installer für Firefox, Chrome und Conkeror liegt bei. Eine kurze Anleitung dazu findet man ebenfalls auf der anfangs verlinkten Wiki-Seite.
@Ron: Ich hab den Abschnitt durchaus gelesen. Diesen nochmal extra hierher zu kopieren war nicht nötig. Werner hat ja klar gemacht was er meinte – aber nicht worauf er mit der Bemerkung „dass dies vielleicht weiterhelfe“ hinaus wollte. Denn diese Erklärung ist für mich keine Problemlösung.
Dass die Vermeidung von HTTPS (ironischerweise aus Sicherheitsgründen) wohl beabsichtigt ist, ändert nichts an der Problematik. Wenn man dennoch mal ohne einen lokal vorhandenen Generator auskommen muss, ist die Online-Variante die einzige Alternative – und diese lässt sich aus o. g. genannten Gründen (in geteilten Netzen) nicht verwenden.
Das ist ja mal eine geniale Erweiterung! Hoffentlich gibt’s das irgendwann dann auch für Opera 11!
Ne echt schicke sache aber ohne Mobile Nutzung abgesehen von der Webseite nicht so wirklich prall. Aber durchaus Aussbaufähig sollte man beobachten.Aber wer Lastpass, Keepass und so weiter nutzt für den machts keinen sinn.Weil diese Add ons das Passwort bzw den Login Namen auch direkt einfügen.Also ist ein Keylogger keine Gefahr auch das über die Schulter schauen nicht da sich Passwörter ja direkt in * verwandeln bzw der Autologin von Lastpass ist so schnell das kann sich wohl kaum einer merken.
Das zusätzlich Schutz gegen Keyloggern klingt verlockend, das Problem liegt aber darin, dass die modernen Troyaner sich direkt in das Firefox Prozess einklinken und das ganze Internetverkehr dann mitschneiden 🙁
Das heisst doch aber auch, dass ich mich nur mit diesem add-on anmelden kann, richtig? Mit dem Handy schnell von unterwegs aus, oder bei einem Kollegen -schnell mal- bei gmx anmelden geht dann nicht, wenn ich das richtig verstanden habe. Ich find die Idee aber super. Und vielen Dank für den Beitrag!
@DonHæberle:
„Wenn man dennoch mal ohne einen lokal vorhandenen Generator auskommen muss, ist die Online-Variante die einzige Alternative – und diese lässt sich aus o. g. genannten Gründen (in geteilten Netzen) nicht verwenden.“
Falsch, da ist SSL eben NICHT nötig, simpel weil die auf der angezeigten Webseite eingetragenen Werte/Einstellungen/Masterpasswort LOKAL im Browser per JS zum richtigen Passwort generiert werden. Es sind KEINE Upload-Forms, es wird dabei also nichts übers Internet übertragen -> kein SSL nötig.
Steht aber eben so auch deutlich in dem von Ron nochmals zitierten Abschnitt…
@Stebs: Du hast recht. Gestern Abend stand ich wohl auf dem Schlauch und hatte keinen freien Kopf mehr. Hatte mich da gedanklich irgendwie verrannt. Heute morgen wurde es mir auch klar. Danke dennoch. 😉
@DonHæberle: Ich hab’s so wie Ron bzw. Stebs gemeint. Mea culpa, ich drück mich nächstes Mal deutlicher aus. 😉
Also gegen Keylogger ist auch „KeyScrambler“ gut geeignet.
https://addons.mozilla.org/de/firefox/addon/3383/ oder http://www.qfxsoftware.com/
Verschlüsselt im Firefox jede Eingabe,wie z.B. auch Passworteingaben so das sie nicht ausgelesen werden können.
Gruß Juanes
Hört sich verdammt riskant an, alle Passwörter zu verfremden und diese dann über so einen Flaschenhals laufen zu lassen. Würd‘ ich niemandem empfehlen…
Interessante Erweiterung. Ich glaube ich bleibe aber weiter bei [url=https://addons.mozilla.org/de/firefox/addon/4429/]Secure Login[/url]für den Firefox, einloggen mit einem Klick ohne das man Eingaben sieht oder mitloggen kann.
@uniquolol:
Warum?
Ich benutze auf meinem Notebook den NumberLock zur Passworteingabe.
Gebe ich z.B. „politiker“ ein, wird im Passwortfeld *635t52er eingetragen. Ob das allerdings eine gute, bzw. halbwegs effektive Idee ist, kann ich nicht mit Bestimmtheit sagen, mich würde Eure Meinung dazu interessieren.
@kachel:
Imho nein, ist es nicht – das Wort bleibt ein „Dictionary-Word“ und ist damit relativ leicht zu knacken.
Ich würde stattdessen nur einzelne Buchstaben durch Zahlen ersetzen, z.B. das „E“ durch die Zahl „3“ o.ä. Und vor allem natürlich _KEIN_ „Dictionary-Word“ benutzen. 😉
@Jörg
Danke für die Info. War halt eine Idee. Allerding ersetzt der NumberLock Buchstaben z.B. durch Zahlen und Zeichen. Wer nicht weiß, dass der Numberlock aktiviert ist?