Passwörter in Google Chrome speichern: praktisches Feature oder unterschätzte Gefahr?

Seit ein paar Tagen macht die Meldung die Runde, dass Passwörter, die mit dem Passwort-Manager in Chrome gespeichert werden, sehr einfach angezeigt werden können. Bug oder Feature? Was auch immer es ist, es ist nicht neu. Firefox führte zur Sicherheit bereits ein Master-Passwort ein, das eingegeben werden muss, bevor man die Passwörter angezeigt bekommt.

Chrome

Das Feature, sich Passwörter anzeigen lassen zu können, nutze ich seit dem Zeitpunkt, als die Passwortspeicher in die Browser Einzug hielten. Erlangt ein Fremder Zugriff auf meinen PC und somit die gespeicherten Passwörter, weil ich in Chrome noch angemeldet bin, ist dies vermutlich das kleinste Problem, das ich habe.

[werbung] Aber was ist nun dran? Hat Google hier tatsächlich geschlampt? Sollte es einem nicht bewusst sein, dass Passwörter mit wenigen Klicks aus einem angemeldeten Google-Konto einsehbar sind? Für mich ist das logisch, für Euch vermutlich auch, aber ist es das für Lieschen Müller ebenfalls? Hat man erst einmal Zugriff auf einen Chrome-Account, ist es eine Sache von Sekunden, sich die gespeicherten Passwörter über „chrome://settings/passwords“ anzeigen zu lassen.

Alternativen gibt es natürlich. LastPass oder 1Password seien hier genannt. Google wird daran auch nichts ändern. Kein Master-Passwort, weil man den Nutzern kein falsches Sicherheitsgefühl vermitteln will. Der Nutzer soll sich bewusst sein, in welchen Schwierigkeiten er steckt, falls jemand Zugriff auf sein System bekommt.

Nutzt Ihr das in den Browsern integrierte Passwort-Management oder setzt Ihr auf einen alternativen Dienst? Seht Ihr eine Gefahr im Verhalten des Chrome Browsers oder ist es nur ein Aufbauschen eines längst bekannten Umstandes?

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

38 Kommentare

  1. Ich setze seit ein paar Wochen auf Lastpass und bin mehr als zufrieden mit der Lösung. Grund für den Umstieg war übrigens ein Posting von caschy!

  2. Ich finde es immer wieder richtig, die Situation in den Medien zu schildern. Dann kann man entsprechend handeln (z.B. wichtige Kennwörter aus dem Browser entfernen und den PC absichern).

  3. Korrigiere: Nutze Keepass nicht Lastpass… da hat mich wohl der Blogpost noch zu sehr beschäftigt 😉

  4. Ich muss zugeben, ich nutze es auch. Manchmal habe ich auch ein ungutes Gefühl dabei, aber es ist so praktisch 🙂
    Dafür achte ich immer darauf, Windows zu sperren wenn ich mal nicht am Computer/Laptop bin…

  5. ich selber hab noch nie passwörter vom browser speichern lassen…
    ich habe dann immer das gefühl dass ich irgendwann das passwort vergesse wenn ich es nicht immer wieder mal eingeben muss (:

  6. Also Ich verstehe die Aufregung nicht. Ob man nun mittels 2-3 Klicks über die Optionen rankommt oder ne spezfische lokale URL aufruft. Wenn man weiß, wie man dran kommt ist der Weg doch egal.

  7. Dieses Feature, mir das Passwort anzeigen zu lassen, nutze ich sehr regelmäßig. In Zeiten, wo man sein Passwort sehr oft speichert und kaum noch eingibt, vergisst man es schnell. Oder auch bei Diensten, bei denen ich mich monatelang nicht einlogge. Ohne dieses Feature, wäre ich wohl des Öfteren aufgeschmissen ^^

  8. Dass Chrome Passwörter ungesichert speichert weiß ich schon, seit ich diesen Browser nutze, da ich mich direkt darüber wunderte dass es keine Möglichkeit gibt ein Master Passwort zu setzen. Wenn man einen Rechner mit verschlüsselter Festplatte nutzt und Besucher in einen anderen Account einloggt, dann hat man auch kein Problem damit.

    Dass ich jemanden an meinen Rechner lasse, dem ich nicht vertraue, wird nie in meinem Standard-Account geschehen und verlasse ich den Rechner wird er immer gesperrt.

    Es gibt keine 100% Sicherheit, aber so muss ich nur das Systempasswort eingeben und nicht noch eins im Chrome – es ist also irgendwo auch Komfort.

    Ansonsten kann ich Caschy nur zustimmen dass es mit 1Password und Co. genug Tools gibt um es „nachzurüsten“ wenn man es denn möchte. Es ist ja niemand gezwungen die Chrome-eigene Passwort-Funktion zu nutzen und sie lässt sich in den Einstellungen deaktivieren.

  9. Ich speicher meine Passwörter immer in Chrome. Dank Sync hab ich die dann sowohl zuhause als auch im Büro. Ich könnte zwar auch darauf verzichten, weil meine Passwörter einen bestimmten Aufbau haben und ich sie mir dadurch leicht merken kann – aber das ständige Eingeben würde mir mit der Zeit auf den Kranz gehen.

    Abgesehen davon sind meine Rechner ohnehin zusätzlich passwortgeschützt (auch zuhause, wo außer mir keiner an den Rechner geht). Aber wer an die Passwörter ran will, kommt da auch ran.

    Ich bin ohnehin kein Fan von zuviel Sicherheit. Das mag man jetzt interpretieren, wie man will. Irgendwann verlernen wir auf unseren Menschenverstand zu hören und unsere natürliche Vorsicht zu nutzen, wenn uns von allen Seiten Möglichkeiten geboten werden irgendwas sicher zu machen.

  10. Niels Cassens says:

    Ich habe dies Passwörter bis jetzt auch immer im Chrome gespeichert.
    Will aber eigentlich schon länger da weg.

    Ich will diese irgendwie auf dem eigenen Rechner oder auf einem eigenen Server speichern. Und das am besten das diese dann auch automatisch eingetragen werden und auch automatisch gespeichert werden.

    Gibts es dazu irgendwelche Lösungen?

  11. Nutze zwar Chrome nicht sondern den Fox, aber auch mir ist klar – das wenn ich eingeloggt bin, wer ran kommen will und etwas drauf hat, auch ran kommen kann.
    Anders wird mir nur bei der Vorstellung, das NSA, BND und Sonstnochwer all unsere Passwörter kennen, bzw. sie gar nicht mal brauchen. Bedenklich besonders in Anbetracht, das die Firmen die die dafür notwendige Software liefern – rein kommerziell handeln und wahrscheinlich ebenfalls Zugriff auf Alles haben :/

  12. Also ich Speicher schon seit Jahre keine Passwörter mehr. Viel zu unsicher. Egal ob „LastPass oder 1Password“. Ich hab meine Passwörter die ich mir nicht merken kann auf einem Crypted USB-Stick oder auf dem Papier.

  13. Also ich muss im FF unter Extras – Einstellungen -Sicherheit – Gespeicherte Passwörter *kein* Master-Passwort eingeben, um die Passwörter anzuzeigen. Ich müsste also als Lieschen Müller erst einmal ein Master-Passwort vergeben, richtig? Ich seh‘ jetzt nicht, wo der Firefox da sicherer sein soll als Chrome.

  14. Generell verwalte ich meine Passwörter mit KeePass. Die Vorteile meiner Meinung nach ist die einfache Bedienung und die übersichtliche Oberfläche 🙂

    Um die Passwort-DB auf jedem Rechner zur Verfügung zu haben liegt die nochmal in einem TrueCrypt-Container in der Dropbox 😀

    Beide mit unterschiedlichen Passwörtern mit > 24 Zeichen Länge.

  15. Ich nutze, ebenfalls dank Caschy, LastPass.
    Gibt mir ein ganz gutes Gefühl bezüglich der Verschlüsselung der Daten.

    Dort kann man sich über den Punkt „My LastPass Vault“ seine Kennwörter übrigens auch im Klartext anzeigen lassen, ohne vorherigen Zauber wie „Masterpasswort“.

    Die Argumentation des Chrome Sicherheitsteams kann ich für mich nachvollziehen.

  16. Ich speichere keine Passwörter im Browser. Habe alle meine Passwörter auf einem Blatt Papier aufgeschrieben. Seit ein paar Tagen probiere ich Dashlane aus, um Passwörter zu verwalten.

  17. Dieses Theater….
    Ich speichere meine Passwörter immer. Sollte jemand Zugriff auf mein Linux-Konto haben, dann hab ich halt pech gehabt, die Passwörter wären das kleinste Übel. Beim IE könnte man das selbe Theater veranstalten, beim Opera auch und bestimmt auch beim Safari.

  18. [quote=“du sagst“]bevor man die Passwörter angezeigt bekommt.[/quote]
    das muss nicht sein wenn das Masterpasswort nicht vergeben ist geht es auch ohne, noch besser finde ich Lastpass aber das muss jeder selbst entscheiden…

  19. Wolfgang D. says:

    Firefox Sync + für Cross-Browser-Sync lastpass. Natürlich mit Autologin, sonst ist es keine Arbeitserleichterung.

  20. Das Fehlen eines Masterpassworts ist für mich der Grund, wieso ich Chrome nicht nutze. Ein „falsches Sicherheitsgefühl“ halte ich für Unsinn. Mir geht es einfach darum, dass eben nicht jede Lieschen Müller die Möglichkeit hat, meine Passwörter ohne Aufwand zu sehen.
    Ein Masterpasswort ist mit Sicherheit auch nicht unknackbar, aber es schränkt die Zahl an möglichen „Angreifern“ doch erheblich ein.

  21. Die Formulierung „speichere meine Passwörter in chrome“ ist entweder einfach schlampig oder schlichtweg unvollständig. Bei einem aktivierten Cloudabgleich – und wer hat den nicht aktiviert – werden offensichtlich alle Passwörter irgendwo in der Google Cloud gespeichert. Wer darauf alles zugreift sollte mittlerweile jedem bekannt sein. Das schwächste Glied in der Kette dürften aber weniger die PCs noch PRISM oder irgendwelche ermittelnden Ordnungswidrigkeitenhüter sondern eher Tabletts sein, denn dort verwenden nur die wenigsten Benutzer ein richtiges Anmeldepasswort sondern malen allenfalls Figürchen zum Login auf das Touchscreen, welche man hinterher anhand der Fettspur auch ohne Kriminaltechniker zu sein problemlos nachziehen kann.

  22. Ich fände für den Chrome eine Funktion wie z.B. bei Amazon gut, wo man nochmal seine Logindaten eingeben muss, wenn man in seinem Konto was tun mag.
    Sollte ja eigentlich nciht schwierig einzurichten sein…!

  23. richtig,
    wenn die Kennwörter unverschlüsselt im Browser liegen, werden Sie auch genau so auf dem Google-Server liegen. Somit sind meine Kennwörter für die NSA und Co. einfach abrufbar.
    Ich nutze wieder verstärkt Firefox und KeePass 😉

  24. @Dirk 14:59: Das ist nicht richtig. Chrome verschlüsselt die Passwörter einem aus dem Google-Kontenkennwort abgeleiteten Schlüssel, welches man bei der Einrichtung von Chrome-Sync angeben muss (optional auch die anderen gesyncten Daten, aber Passwörter immer).

  25. 1password über dropbox gesynct. sicher und komfortabel

  26. Ich finde es bedenklich, dass Trojaner/Malware und co auch direkt daraufzugreifen können, hat man sich mal was eingefangen.

  27. Das Fehlen der Master-Passwort Funktion ist (neben der Anzahl der verfügbaren Extensions) der einzige Grund, wieso ich noch nicht auf Chrome als Hauptbrowser umgestiegen bin.

    Bis Google es schafft die Passwörter verschlüsselt zu speichern bleibe ich bei Firefox.

  28. Leute, ihr verwechselt „verschlüsselt Speichern“ und „Maßnahmen, damit ein Benutzer die Daten nicht sehen kann“.

    Chrome verschlüsselt die gespeicherten Passwörter, sowohl lokal in der Datei im Filesystem (unter Windows vermutlich mittels DPAPI), und auch in der Cloud (mit dem Kontenkennwort).

    Die Aussage des Security-Menschen von Google ist: Für die überwiegende Mehrzahl der Benutzer (und das sind nicht die Leute, die dieses Forum lesen) ist es so wie es ist am besten. Zauber wie „Master-Kennwörter“, die ein Benutzer dann eingeben und sich merken muss, sind dem durchschnittlichen Benutzer nicht sinnvoll und werden, wenn sie erzwungen würden, eher schädliche Folgen haben (Funktion wird nicht benutzt, einfache Kennworte benutzt, …).

    Security is all about risk management.

  29. Also ich nutze die Passwortfunktion in Firefox mit Masterpasswort. Halte den Firefox aktuell und hoffe die Verschlüsselung hält stand.

    Die Passwörter werden auf alle Rechner (4 insgesamt, home, office, 2 Laptop) wie die Lesezeichen sehr bequem gesynct. Gleichzeitig kann ich komplizierte, lange und verschiedene Passwörter für die Zugänge nutzen.

    Sollte jemand Zugriff auf einen Rechner von mir haben, während ich angemeldt bin, muss in Firefox zur Anzeige der Passwörter erneut das Masterpasswort eingegeben werden.

  30. Ich verstehe die Aufregung ebenfalls nicht. Wenn ich meine Passwörter vor Fremden geheim halten will speicher ich sie nicht oder ich sperre meinen PC mit dem Benutzeraccount, wie das ja von den Chromeentwicklern vorgeschlagen wird.
    Das Masterpasswort wie bei Firefox verhindert meiner Meinung nach überhaupt nichts. Wenn ich in einer Sitzung das Passwort nämlich einmal eingegeben habe, bleibt es bis zu dessen Ende gespeichert, so dass ich es nicht erneut eingeben muss um mich auf Webseiten anzumelden. Wenn der Angreifer dann über die „Element untersuchen“-Funktion den Typ des Passwortfeldes von „password“ auf „text“ ändert wird es auch im Klartext angezeigt. Das einzige was mit dem Masterpasswort dann noch verhindert werden kann, ist das die komplette Liste der Seiten mit den gespeicherten Passwörtern angezeigt werden kann. Und bevor ich eine Firefox-Sitzung beende, um den Zugang zu meinen Passwörtern zu verhindern drücke ich doch lieber WIN+L und sperre den Benutzer.

  31. Bei Seiten bei denen man grosses Unheil anrichten kann, lass ich Chrome dass Passwort nicht speichern, soviel Hirnzellen sind noch da, dass ich die mir merken kann. 🙂

  32. xxx76tif62c7086bcb44911c083b says:

    Bin genau deshalb schon auf KeePass+ChromeIPass umgestiegen. Aber was ich wirklich scheiße an Chrome finde: Man kann keinen eigenen Synch Server betreiben. Oder weiß jemand doch wie das ginge?

    Würde mich freuen wenn mir da mal wer helfen könnte. =)

  33. @xxx76*
    Ich verwende momentan BitTorrent Sync um die KeePass Datenbank auf meinen Geräten synchron zu halten. http://labs.bittorrent.com/experiments/sync.html

    ChromeIPass muss ich mir auch mal anschauen. Benutze zur Zeit kein Browser Plugin.

  34. Ihr werdet euch doch wohl ein oder zwei Passwörter merken können, oder? Ich bin fast überall mit dem gleichen Passwort registriert und brauche es daher auch nicht im Browser zu speichern, da ich es eh auswendig kann. Von daher bin ich schon ziemlich sicher unterwegs, an mein Passwort kommt keiner ran!! ^^

    *ironie off*

  35. Also die Verwendung von einem oder zwei Passwörtern für alle Seiten sehe ich als sehr kritisch an. Des Öfteren werden schwach abgesicherte Seiten angegriffen und dann einfach die erbeuteten Benutzernamen und Passwörter auf anderen Seiten ausprobiert….

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.