Chrome 79 integriert Überprüfung von Passwörtern

Außerdem bietet die neue Chrome-Version weitere Funktionen zur Verbesserung der Sicherheit. Dazu zählt etwa ein Echtzeit-Blacklisting bösartiger Websites.

Chrome 79 enthält Sicherheits- und Fehlerbehebungen, aber auch neue Funktionen wie die integrierte Unterstützung für das Password Checkup-Tool, Echtzeit-Blacklisting bösartiger Websites über die Safe Browsing API, allgemeine Verfügbarkeit von Predicitive Phishing-Schutzmaßnahmen, ein Verbot des Ladens von HTTPS „mixed content“, Unterstützung für das Einfrieren von Tabs, eine neue Benutzeroberfläche für den Profilbereich von Chrome Sync und Unterstützung für einen Backward-Caching-Mechanismus.

Eingebautes Passwortüberprüfungs-Tool

Password Checkup ist ein Online-Dienst, über den Google alle in Chrome synchronisierten Passwörter abspeichert und überprüft, um festzustellen, ob diese komprommitiert sind. Bislang war die Passwort-Überprüfung nur als separate Chrome-Erweiterung oder als Abschnitt im Google Web-Dashboard verfügbar. Mit der Vorstellung von Chrome 79 hat Google das Dienstprogramm in Chrome selbst integriert. Um es nutzen zu können, müssen Chrome-Benutzer in ihrem Google-Konto in Chrome angemeldet sein. Außerdem wird es gerade erst ausgeliefert, sodass es noch ein paar Tage dauern kann, bis alle Chrome-Anwender das Feature nutzen können.

Sobald diese Funktion aktiviert ist, überprüft Chrome die vom Nutzer abgespeicherten Passwörtern, ob diese komprommitiert wurden. Ist das der Fall, fordert Chrome den Anwender auf, die betroffenen Passwörter zu ändern. In einem Blogbeitrag schreibt Google folgendes zum Verfahren:

  • Wann immer Google einen Nutzernamen und ein Passwort entdeckt, die durch die Datenschutzverletzung eines anderen Unternehmens gefährdet sind, speichern wir eine stark gehashte und verschlüsselte Kopie der Daten auf unseren Servern mit einem nur Google bekannten geheimen Schlüssel.
  • Wenn Sie sich auf einer Website anmelden, sendet Chrome eine stark gehashte Kopie ihres Benutzernamens und Passworts an Google, die mit einem geheimen Schlüssel verschlüsselt ist, der nur Chrome bekannt ist. Niemand, einschließlich Google, ist in der Lage, ihren Benutzernamen oder ihr Passwort aus dieser verschlüsselten Kopie abzuleiten.
  • Um festzustellen, ob ihr Benutzername und ihr Passwort komrommitiert wurden, verwenden wir eine Technik, die als „Private set intersection with blinding“ Blendung bezeichnet wird und mehrere Verschlüsselungsschichten umfasst. Dies ermöglicht es uns, ihren verschlüsselten Benutzernamen und ihr Passwort mit allen verschlüsselten, komprimmitierten Zugangsdaten zu vergleichen, ohne ihren Benutzernamen und ihr Passwort preiszugeben oder Informationen über die Benutzernamen und Passwörter anderer Benutzer preiszugeben. Um diese Berechnung effizienter zu gestalten, sendet Chrome ein 3-Byte SHA256-Hash-Präfix ihres Benutzernamens, um die Größe der verbundenen Daten von 4 Milliarden Datensätzen aus 250 Datensätzen zu reduzieren und gleichzeitig sicherzustellen, dass ihr Benutzername anonym bleibt.
  • Nur Sie stellen fest, ob ihr Benutzername und ihr Passwort gefährdet sind. Wenn sie kompromittiert wurden, empfehlen wir ihnen dringend, ihr Passwort zu ändern.

Chrome integriert Password-Überprüfung (Bild: Google)

Echtzeit-Blacklisting von gefährlichen Websites

Seit Jahren verfügt Chrome über eine Sicherheitseinstellung, die als Safe Browsing API bekannt ist. Damit lädt Chrome alle 30 Minuten eine Liste bekannter gefährlicher Websites herunter. Wenn ein Benutzer eine Website besucht, überprüft Chrome die URL anhand dieser Liste, die lokal in allen Browsern der Benutzer gespeichert ist.

Google sagt jedoch, dass die Bedrohungsakteure in den letzten Monaten schneller die Standorte und Domänen gewechselt haben und diese 30-minütige Verzögerung ausgenutzt haben. Mit der Veröffentlichung von Chrome 79 wird es Benutzern über den Abschnitt „Synchronisierung und Google-Dienste“ ermöglicht, eine Echtzeit-Überprüfung gefährlicher Websites durchzuführen. Über die Option „Safe Browsing (mich und mein Gerät vor schädlichen Websites schützen)“ schaltet man den grundsätzlichen Schutzmechnismus ein. Mit „Suchanfragen und das Surfen verbessern“ gibt man Chrome die Berechtigung, URLs an die Safe Browsing-Server zu senden. Wenn beide Optionen aktivieren sind, ist die Echtzeit-Überprüfung gefährlicher Webseiten aktiviert.

Mit Chrome 79 wird auch die die HTTPS-Unterstützung erweitert, sodass „gemischte Inhalte“ auf HTTPS-Seiten blockiert werden.

Chrome 79 mit Realtime-Überprüfung gefährlicher Webseiten (Screenshot: ZDNet.de)

Predictive Phishing für jedermann

Ein weiteres nützliches Sicherheitsmerkmal von Chrome 79 ist die allgemeine Verfügbarkeit von Predictive Phishing. Predictive Phishing wurde 2017 eingeführt und warnt die Benutzer, wenn sie möglicherweise Passwörter auf vermuteten Phishing-Websites eingeben.

Ursprünglich unterstützte die Funktion nur die Erkennung von Phishing-Sites bei der Eingabe von Google-Konto-Anmeldeinformationen und nur, wenn Benutzer die Synchronisierungsfunktion in Chrome verwendeten. Mit Chrome 79 sind Predictive Phishing-Warnungen für alle Benutzernamen und Passwörter verfügbar, die in der Passwortdatenbank von Chrome gespeichert sind, auch wenn der Benutzer die Funktion Synchronisieren verwendet oder nicht. Google erwartet aufgrund eigener Analysen, dass die Funktion „Hunderte von Millionen weiterer Nutzer vor schlechten Akteuren im Web schützen wird.“

Chrome 79: Ressourcenverbrauch mit "Tab freeze" eindämmen (Screenshot: ZDNet.de).

Ressourcenverbrauch eindämmen: Tab freeze

Um den Ressourcenverbrauch von Chrome zu minimieren, steht unter chrome://flags/#proactive-tab-freeze die eine neue Option Tab freeze zur Verfügung. Standardmäßig ist die Funktion allerdings nicht aktiv. Sobald sie eingeschaltet ist, entlädt Chrome Tabs, die länger als fünf Minuten inaktiv waren. Dadurch werden CPU- und RAM-Systemressourcen für andere Registerkarten oder andere lokal laufende Anwendungen freigegeben.

Eine zusätzliche Einstellmöglichkeit erlaubt, dass eingefrorene Tabs alle 15 Minuten für 10 Sekunden freigegeben werden, damit sie im Hintergrund beispielsweise ihre Inhalte aktualisieren können. Das erlaubt es Web-Anwendungen wie E-Mail und Messenger, Nutzer über neue Nachrichten zu informieren.

WEBINAR

Webinar-Aufzeichnung: Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Eine ähnliche Funktion hatte Google bereits im Jahr 2015 eingeführt. Tab Discard wird allerdings erst aktiv, wenn der verfügbare Arbeitsspeicher insgesamt knapp wird.

Der geringere Speicherverbrauch durch Tab freeze hat aber auch einen Nachteil. Ein eingefrorener Tab muss, sobald er aufgerufen wird, komplett neu geladen werden. Ein schneller Wechsel zwischen Tabs ist also nicht mehr möglich. Zudem müssen sich Nutzer im klaren sein, dass sie je nach gewählter Option keine Benachrichtigungen von eingefrorenen Tabs erhalten. Profitieren sollten von der Funktion vor allem Systeme mit wenig Hauptspeicher.

ANZEIGE

Webinar: Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Online-Seminar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Themenseiten: Browser, Sicherheit

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

2 Kommentare zu Chrome 79 integriert Überprüfung von Passwörtern

Kommentar hinzufügen
  • Am 11. Dezember 2019 um 18:12 von Andreas

    Oberflächlich freut man sich zuerst, aber dann setzt das blanke Entsetzen ein.
    Google speichert die PWe von Nutzern mit der scheinheiligen Begründung diese gegen Kompromittierung schützen zu wollen. Mit diesem Vorgang ist das PW aber kompromittiert und der Nutzer hat damit unbewußt gegen von ihm unterschriebene Datenschutzbestimmungen verstoßen, die besagen, daß eine Weitergabe des Paßwortes an Dritte unter Strafe verboten ist.
    Mit dem Predictive Phishing wird es Google dann ermöglicht die gespeicherten PWe einem Anbieter/Webseite zuzuordnen, wenn der Nutzer eine vermeintliche Phishing-Seite aufruft.
    Falls der Nutzer Echtzeit-Blacklisting verwendet, wird es Google ermöglicht die aufgerufenen Seiten lückenlos zu verfolgen.
    Es ist immer wieder „faszinierend“ mit welcher Dreistigkeit dieses Unternehmen dem Verbraucher seine Spionage-Werkzeuge unter dem Deckmantel der vermeintlichen Sicherheit unterjubelt.
    Ich befürchte, daß die breite Masse diesen „Sicherheitsgewinn“ mal wieder unreflektiert bejubelt.

  • Am 16. Dezember 2019 um 12:54 von tom

    Vielen Dank für Ihren Kommentar.

    Warum um den heißen Brei herumreden? Google nimmt sich das Recht heraus Passwörter zu speichern und zu verarbeiteten. Zum Schutz des Verbrauchers sind alle Mittel Recht. Und den/die Verbraucher/in interessiert es immer weniger. Ich bin gespannt, wann die Anmeldung ins Google Konto nicht mehr optional ist.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *