Google hat für den Umgang mit Passwörtern in seinem Browser Chrome deutliche Kritik einstecken müssen. Das kontrovers diskutierte Problem besteht darin, dass jeder eingeloggte Nutzer die in Chrome gespeicherten Passwörter einsehen kann. Wer also Zugang zu einem laufenden Rechner bekommt, kann sich die Online-Passwörter des Nutzers anzeigen lassen. Google hat sich für dieses Vorgehen allerdings bewusst entschieden und rechtfertigt es.
Um in Chrome gespeicherte Passwörter zu sehen, muss man nur chrome://settings/passwords besuchen – oder die Einstellungen aufrufen und dort „Passwörter“ sowie anschließend „gespeicherte Passwörter“ anklicken. Die Passwörter werden nun zunächst maskiert gezeigt, können aber einzeln per Klick in Klartext verwandelt werden. Es gibt keinerlei Sicherheitsmaßnahmen – nicht einmal ein optionales Masterpasswort.
„Google geht nicht offen mit Passwortsicherheit um“, schreibt der Entwickler Elliot Kember, der über das Problem einen Blogbeitrag verfasst hat. Schließlich bewerbe Google seinen Browser auf Youtube oder in Kino-Spots, also für den Massenmarkt. „Die Leute wissen nicht, dass das so funktioniert. Sie erwarten nicht, dass man ihre Passwörter so leicht einsehen kann. Jeden Tag speichern Millionen normale Anwender ihre Passwörter in Chrome. Das ist nicht okay.“
Der Leiter von Googles Chrome-Entwicklung, Justin Schuh, sieht es exakt andersherum. Mit einem anderen Modell würde man Anwendern nur einen falschen Eindruck von Sicherheit geben. „Dann denken die Leute, ihre Passwörter seien geschützt, aber sie sind es nicht. Sie lassen sich immer noch in trivialer Weise wiederherstellen. Und um sie auszulesen, muss ein Bösewicht auch so schon ihr komplettes OS-Nutzerkonto kompromittieren.“
Mit einer zusätzlichen Sicherheitsmaßnahme würde man die Nutzer also nur in falschen Sicherheitsannahmen wiegen, sagt Schuh. Er steht damit nicht allein. Andere weisen darauf hin, dass ja genug Add-ons mit Masterpasswort verfügbar seien. Google müsse den Anwendern kein solches System aufdrängen.
Doch auch Kritiker Kember hat namhafte Unterstützung erhalten, unter anderem durch Web-Erfinder Tim Berners-Lee, der Googles Antwort „enttäuschend“ nennt. Die Google-Kritiker skizzieren mehrere Szenarien, in denen es Diebe allzu leicht haben – etwa wenn sich unter den Arbeitskollegen ein schwarzes Schaf befindet, ein Dienstleister im Büro unterwegs ist oder Informationsdiebe in der Flughafenlounge nur Ausschau nach laufenden Notebooks halten müssen.
Sicherheitsexperte Graham Cluley argumentiert dagegen vergleichsweise nüchtern, indem er auf Firefox verweist. Im Mozilla-Browser könne man freiwillig ein Passwort vergeben, um den Zugriff auf die Passwort-Sammlung zu sperren. „Es ist schwer zu verstehen, wieso Google diesen zusätzlichen Schutz nicht bietet, wenn andere Browserhersteller es tun.“
[mit Material von Tom Brewster, TechWeekEurope.co.uk]
Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Neueste Kommentare
4 Kommentare zu Google gerät wegen Passwort-Speicherung in Chrome in die Kritik
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Cool, am besten, wir verzichten komplett auf Passworte, ‚um kein trügerisches Gefühl der Sicherheit aufkommen zu lassen‘? Coole Ausrede Google, wieder beim Griff ins Portemonnaie erwischt worden? ;-)
Selbst wenn man in Firefox ein Master-Passwort verwendet, lassen sich in den meisten Szenarien die Passwörter zumindest teilweise leicht auslesen. Ist das Master-Passwort einmal eingegeben (was der Fall ist, sobald der Nutzer das erste mal eine Seite mit gespeichertem Passwort aufgerufen hat), muss man ja nur auf die betreffende Seite gehen und Firefox fügt das Passwort ein. Zwar sind dann nur Sternchen sichtbar, aber das Passwort lässt sich leicht sichtbar machen. Z.B. mit der Extension „Web Developer“ mit zwei Klicks (Formulare/Passwörter anzeigen) oder mit Bordmitteln indem man die Web Console öffnet (STRG+SHIFT+K) und ein JavaScript wie dieses ausführt (einfach in die Zeile unten einfügen und Enter drücken):
for(var i=0; i<document.getElementsByTagName('input').length; i++) { if(document.getElementsByTagName('input')[i].type=='password') alert(document.getElementsByTagName('input')[i].value); }
Jetzt könnte man sagen, man muss dazu wissen, für welche Seiten Passwörter gespeichert sind. Allerdings verrät Firefox dies ja ohne dass man ein Master-Passwort angeben muss (Einstellungen/Sicherheit/gespeicherte Passwörter).
Ist das Master-Passwort also einmal eingegeben, kann man in Firefox auch alle Passwörter auslesen, es ist nur etwas mehr Aufwand als bei Chrome oder ohne Master-Passwort.
So ganz Unrecht hat google also nicht, wenn sie sagen, dass ein Master-Passwort ein trügerisches Gefühl von Sicherheit vermittelt.
Allerdings bringt das Master-Passwort dennoch etwas: Es ermöglicht, dass die Passwörter auf der Platte verschlüsselt gespeichert werden und erschwert somit anderen Programmen den Zugriff darauf. Auch dies lässt sich natürlich umgehen, indem andere Programme die Eingabe des Master-Passwortes mitlesen können. Dies könnte Firefox (zumindest unter Windows) lösen, indem es die Eingabe des Master-Passworts auf einem "Geschützten Desktop" abfragt, wie es beispielsweise der Passwort-Manager "Keepass" (optional) tut. Dies kann Firefox allerdings bisher nicht.
Alles in allem halte ich ein Master-Passwort für sinnvoll, aber man sollte die dadurch gewonnene Sicherheit nicht überbewerten. Sicherheit ist immer relativ, und ein Master-Passwort erhöht sie leicht. Aber würde man alle Nutzer zu einem Master-Passwort zwingen, würden viele vielleicht denken, sie könnten wichtige Passwörter für Online-Banking oder ähnliches sicher dort ablegen.
Danke für die Info’s, klingt schlüssig. Mich störte ja auch nur die lapidare Ausrede von Google, weil man mit diesem Argument auch kein Windows Password setzen muss … Linux von CD booten, und man sieht alles, was auf der Platte ist.
Interessant wäre es zu wissen, ob Chrome irgendwelche eingebauten Backup Mechanismen besitzt, die die Passworte (unverschlüsselt?) in die Google Cloud ablegen? Das wäre dann allerdings verdächtig.
Wem wundert’s würde ich behaupten.
Aber ich glaube die Kritik seitens google sind hier schon berechtigt.
Auch wenn ich mit JS oder anderen Scripts und Tools Passwörter ermitteln kann, finde ich es schon ziemlich doof ein Kennwort in Klartext zu speichern.
Aufgrund meiner Tätigkeit speicher ich generell keine Kennwörter, und habe auch keine Passwort.txt (Sarkasmus ein: sondern eine trowssap.xtx <- Sicherer als googles Strategie Sarkasmus aus).
Trügerische Sicherheit?
Na Klar!
Warum soll man Passwörter wie 123456,passwort,liebe etc. verschlüsseln? Wäre doch sowieso Sinnfrei.
Kritik nur an Google ist allerdings unangebracht, eher mehr die Mentalität der Firmen (deren Mitarbeiter).
Es ist schon soviel herausgekommen, gehackt und veröffentlicht worden.
Ob Web.de Facebook etc, sind doch alle gleich.