Klartext: Kontroverse zu Chromes Umgang mit Passwörten

Googles Browser Chrome zeigt gespeicherte Passwörter auf Wunsch im Klartext an, ohne dass der Nutzer dazu ein Passwort eingeben oder sich am Browser anmelden muss. Es genügt ein Klick auf "Show" neben dem jeweiligen Eintrag. Elliott Kember hält dies für ein Sicherheitsrisiko, schließlich kann so jeder, der Zugriff auf den Account hat, alle gespeicherten Passwörter leicht ausspähen. Kember hat darüber gebloggt und viel Zustimmung bekommen.

Google-Entwickler Justin Schuh, der für die Sicherheit von Chrome verantwortlich ist, weist in einem Eintrag auf Hacker News die Kritik von Kember zurück. Eingeschränkte Rechte für Nutzeraccounts seien der einzige wirksame Schutz gegen das Ausspähen der Passwörter, wenn jemand Zugriff auf den Nutzeraccount habe. Daher nutzte Chrome die vom Betriebssystem zur Verfügung gestellten Möglichkeiten, Passwörter verschlüsselt zu speichern, so dass kein anderer Nutzer, der sich auf dem System anmeldet, darauf zugreifen kann. Alle anderen Schutzmaßnahmen innerhalb eines Nutzeraccounts seien nicht verlässlich und "meist nur Theater", so Schuh.

Sobald sich ein Angreifer Zugang zu einem Nutzeraccount verschafft hat, könne er alle Session-Cookies und den Verlauf kopieren oder Schadsoftware installieren, um alles, was der Nutzer macht, abzufangen. Dem Angreifer stehen in einer solchen Situation viele Wege offen, um zu bekommen, was er will.

Das Chrome-Team habe sich daher entschieden, dem Nutzer keine falsche Sicherheit vorzuspielen und so gegebenenfalls ein riskantes Verhalten zu fördern. Es gehe darum deutlich zu machen, dass ein Angreifer, der Zugriff auf einen Nutzeraccount hat, Zugriff auf alle Daten dieses Nutzers habe.

Es ist also nicht davon auszugehen, dass Google hier eine Änderung plant.