Googles Erweiterung „Passwort-Warnung“ umgangen

Vor ein paar Tagen brachte Google mit einer neuen Erweiterung namens Passwort-Warnung eigentlich keine schlechte Idee unter die Nutzer. Die Erweiterung achtet darauf, dass man auch auf einer Google-Seite ist, wenn man das Passwort eingibt. Ist dies nicht der Fall, so wird von der Erweiterung eine Warnmeldung ausgesendet. Google schlug hier gleich zwei Fliegen mit einer Klappe: man schützt vor Phishing und sorgt gleichzeitig dafür, dass Nutzer sich überlegen, das gleiche Passwort noch einmal zu nutzen.

Bildschirmfoto 2015-04-29 um 13.10.05

Denn wer beispielsweise sein Google-Passwort bei Facebook eingab (weil er es auch dort nutzte), der bekam ebenfalls eine Warnung, dass man sich nicht auf einer Google-Seite befinde – und dass man unter Umständen zu einem Phishing-Opfer werden können. Dumm nur, dass die Erweiterung von Google schon zwei Mal von Sicherheitsforschern umgangen werden konnte.

Beim ersten Aushebeln reichte ein spezielles Script, dieses sorgte dafür, dass die Warnung nicht angezeigt wurde. Google arbeitete flott nach und schob ein Update hinterher – dieses ließ sich aber immer noch austricksen, wie man bei Arstechnica berichtet. Hierbei wurde die Erweiterung so manipuliert, dass eine potentiell schädliche Seite nie das Passwort am Stück sendete, sondern durch Reload jeden Buchstaben einzeln – was letzten Endes dafür sorgte, dass keine Warnmeldung seitens der Erweiterung ausgesandt wurde.

Mittlerweile wurde die Erweiterung ein weiteres Mal aktualisiert. Mal schauen, wann man die Erweiterung ein weiteres Mal umgehen kann. Trügerische Sicherheit, die keine ist. Ebenfalls muss man bedenken, dass es sich um eine Erweiterung handelt – viele Nutzer wissen gar nicht, dass diese existent ist – vielleicht hätte Google einen besseren Schutz gleich direkt in Chrome verzahnen sollen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

5 Kommentare

  1. Vielleicht ist die Erweiterung nur zu Testzwecken gedacht, bevor man sie dann fest in den Browser integriert. Fände ich zumindest logisch.

  2. Um den Kryptoprofis jetzt die Gelegenheit zu geben, das Ding auszutricksen und dann später „sicher“ zu übernehmen.

  3. Ist auch keine Lösung.
    Mit der Sicherheit bei solchen Dingen ists doch Pustekuchen, so lange die Benutzer nicht gezwungen werden, bestimmte Maßnahmen zu ergreifen.
    Autofill-Funktionen in Browsern sowie solche Erweiterungen tragen doch dazu bei. Da werden die drei Passworte, die für 15 Dienste genutzt werden, auch noch schneller vergessen.

    Wäre man gezwungen Passwortmanager zu nutzen, wären unsichere Passworte automatisch obsolet. Würde ja schon ein Tool reichen, wo man den Dienst etc. eingibt, einen Button klickt, der ein mindestens 12-stelliges Passwort mit Sonderzeichen, Ziffern, Groß-/Kleinbuchstaben erstellt und abspeichert. Noch eine Im-/Export-Funktion für alle Fälle und als txt zum Ausdrucken für den Notfall oder so und gut.
    Das mal als Erweiterung und es wäre wirklich mal was getan. Ich glaube nur, daran hat niemand (Anbieter von Diensten etc.) wirklich Interesse.

    Ich habe KeePass mal angefangen zu nutzen, weil ich einfach mal eine Übersicht haben wollte, wo ich überall Accounts habe. Dass ich seit dem 20-stellige Passworte für jedes noch so gammelige Forum nutze, war da anfangs eher praktischer Nebeneffekt. Mittlerweile ist dieses Tool unverzichtbar. Aber eben aus den – eigentlich gedachten – Sicherheitsgründen.

  4. Würde mich annerven, wenn es fest integriert wird.
    Wenn ich meine Passwörter doppelt verwenden möchte dann mache ich das.

    Mal abwarten was die Zukunft bringt.

  5. hypfer, man wird diese Option in den Einstellungen dann selbstverständlich auch deaktivieren können, oder würde sie explizit aktivieren müssen um sie nutzen zu können.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.