Googles Erweiterung „Passwort-Warnung“ umgangen
Vor ein paar Tagen brachte Google mit einer neuen Erweiterung namens Passwort-Warnung eigentlich keine schlechte Idee unter die Nutzer. Die Erweiterung achtet darauf, dass man auch auf einer Google-Seite ist, wenn man das Passwort eingibt. Ist dies nicht der Fall, so wird von der Erweiterung eine Warnmeldung ausgesendet. Google schlug hier gleich zwei Fliegen mit einer Klappe: man schützt vor Phishing und sorgt gleichzeitig dafür, dass Nutzer sich überlegen, das gleiche Passwort noch einmal zu nutzen.
Denn wer beispielsweise sein Google-Passwort bei Facebook eingab (weil er es auch dort nutzte), der bekam ebenfalls eine Warnung, dass man sich nicht auf einer Google-Seite befinde – und dass man unter Umständen zu einem Phishing-Opfer werden können. Dumm nur, dass die Erweiterung von Google schon zwei Mal von Sicherheitsforschern umgangen werden konnte.
Beim ersten Aushebeln reichte ein spezielles Script, dieses sorgte dafür, dass die Warnung nicht angezeigt wurde. Google arbeitete flott nach und schob ein Update hinterher – dieses ließ sich aber immer noch austricksen, wie man bei Arstechnica berichtet. Hierbei wurde die Erweiterung so manipuliert, dass eine potentiell schädliche Seite nie das Passwort am Stück sendete, sondern durch Reload jeden Buchstaben einzeln – was letzten Endes dafür sorgte, dass keine Warnmeldung seitens der Erweiterung ausgesandt wurde.
Mittlerweile wurde die Erweiterung ein weiteres Mal aktualisiert. Mal schauen, wann man die Erweiterung ein weiteres Mal umgehen kann. Trügerische Sicherheit, die keine ist. Ebenfalls muss man bedenken, dass es sich um eine Erweiterung handelt – viele Nutzer wissen gar nicht, dass diese existent ist – vielleicht hätte Google einen besseren Schutz gleich direkt in Chrome verzahnen sollen.
Vielleicht ist die Erweiterung nur zu Testzwecken gedacht, bevor man sie dann fest in den Browser integriert. Fände ich zumindest logisch.
Um den Kryptoprofis jetzt die Gelegenheit zu geben, das Ding auszutricksen und dann später „sicher“ zu übernehmen.
Ist auch keine Lösung.
Mit der Sicherheit bei solchen Dingen ists doch Pustekuchen, so lange die Benutzer nicht gezwungen werden, bestimmte Maßnahmen zu ergreifen.
Autofill-Funktionen in Browsern sowie solche Erweiterungen tragen doch dazu bei. Da werden die drei Passworte, die für 15 Dienste genutzt werden, auch noch schneller vergessen.
Wäre man gezwungen Passwortmanager zu nutzen, wären unsichere Passworte automatisch obsolet. Würde ja schon ein Tool reichen, wo man den Dienst etc. eingibt, einen Button klickt, der ein mindestens 12-stelliges Passwort mit Sonderzeichen, Ziffern, Groß-/Kleinbuchstaben erstellt und abspeichert. Noch eine Im-/Export-Funktion für alle Fälle und als txt zum Ausdrucken für den Notfall oder so und gut.
Das mal als Erweiterung und es wäre wirklich mal was getan. Ich glaube nur, daran hat niemand (Anbieter von Diensten etc.) wirklich Interesse.
Ich habe KeePass mal angefangen zu nutzen, weil ich einfach mal eine Übersicht haben wollte, wo ich überall Accounts habe. Dass ich seit dem 20-stellige Passworte für jedes noch so gammelige Forum nutze, war da anfangs eher praktischer Nebeneffekt. Mittlerweile ist dieses Tool unverzichtbar. Aber eben aus den – eigentlich gedachten – Sicherheitsgründen.
Würde mich annerven, wenn es fest integriert wird.
Wenn ich meine Passwörter doppelt verwenden möchte dann mache ich das.
Mal abwarten was die Zukunft bringt.
hypfer, man wird diese Option in den Einstellungen dann selbstverständlich auch deaktivieren können, oder würde sie explizit aktivieren müssen um sie nutzen zu können.