Abo
  • Services:

Klartext: Kontroverse zu Chromes Umgang mit Passwörten

Der Softwareentwickler Elliott Kember hat eine Diskussion über Chromes Umgang mit gespeicherten Passwörtern angestoßen und kritisiert, dass Chrome diese im Klartext anzeigt. Justin Schuh, der für die Sicherheit von Chrome verantwortlich ist, sieht darin kein Problem.

Artikel veröffentlicht am ,
Chrome zeigt gespeicherte Passwörter im Klartext an.
Chrome zeigt gespeicherte Passwörter im Klartext an. (Bild: Elliott Kember)

Googles Browser Chrome zeigt gespeicherte Passwörter auf Wunsch im Klartext an, ohne dass der Nutzer dazu ein Passwort eingeben oder sich am Browser anmelden muss. Es genügt ein Klick auf "Show" neben dem jeweiligen Eintrag. Elliott Kember hält dies für ein Sicherheitsrisiko, schließlich kann so jeder, der Zugriff auf den Account hat, alle gespeicherten Passwörter leicht ausspähen. Kember hat darüber gebloggt und viel Zustimmung bekommen.

Stellenmarkt
  1. WESTPRESS GmbH & Co. KG, Hamm
  2. Arte G.E.I.E., Straßburg (Frankreich)

Google-Entwickler Justin Schuh, der für die Sicherheit von Chrome verantwortlich ist, weist in einem Eintrag auf Hacker News die Kritik von Kember zurück. Eingeschränkte Rechte für Nutzeraccounts seien der einzige wirksame Schutz gegen das Ausspähen der Passwörter, wenn jemand Zugriff auf den Nutzeraccount habe. Daher nutzte Chrome die vom Betriebssystem zur Verfügung gestellten Möglichkeiten, Passwörter verschlüsselt zu speichern, so dass kein anderer Nutzer, der sich auf dem System anmeldet, darauf zugreifen kann. Alle anderen Schutzmaßnahmen innerhalb eines Nutzeraccounts seien nicht verlässlich und "meist nur Theater", so Schuh.

Sobald sich ein Angreifer Zugang zu einem Nutzeraccount verschafft hat, könne er alle Session-Cookies und den Verlauf kopieren oder Schadsoftware installieren, um alles, was der Nutzer macht, abzufangen. Dem Angreifer stehen in einer solchen Situation viele Wege offen, um zu bekommen, was er will.

Das Chrome-Team habe sich daher entschieden, dem Nutzer keine falsche Sicherheit vorzuspielen und so gegebenenfalls ein riskantes Verhalten zu fördern. Es gehe darum deutlich zu machen, dass ein Angreifer, der Zugriff auf einen Nutzeraccount hat, Zugriff auf alle Daten dieses Nutzers habe.

Es ist also nicht davon auszugehen, dass Google hier eine Änderung plant.



Anzeige
Spiele-Angebote
  1. 18,49€
  2. (-70%) 14,99€
  3. 49,86€

katzenpisse 08. Aug 2013

Sehe ich genauso.

der kleine boss 07. Aug 2013

stimmt, das waren glaube ich gerade mal 2 dateien, die man benötigte, schnell kopiert und...

ThiefMaster 07. Aug 2013

Das sollte bei bei Windows im Profilverzeichnis aber standardmäßig der Fall sein.

Anonymer Nutzer 07. Aug 2013

Wer seinen Computer mit anderen mitbenutzt sollte ein eigenes Konto haben oder die...

SoniX 07. Aug 2013

Ja, das schon. Es wäre aber sehr schön wenn man sie auf Wunsch mit einem Masterpasswort...


Folgen Sie uns
       


Nubia Alpha - Hands on (MWC 2019)

Nubia hat eine Smartwatch mit einem flexiblen Display auf dem Mobile World Congress 2019 in Barcelona gezeigt.

Nubia Alpha - Hands on (MWC 2019) Video aufrufen
Windenergie: Mister Windkraft will die Welt vor dem Klimakollaps retten
Windenergie
Mister Windkraft will die Welt vor dem Klimakollaps retten

Fast 200 Windkraft-Patente tragen den Namen von Henrik Stiesdal. Nachdem er bei Siemens als Technikchef ausgestiegen ist, will der Däne nun die Stromerzeugung auf See revolutionieren.
Ein Bericht von Daniel Hautmann

  1. Offshore-Windparks Neue Windräder sollen mehr Strom liefern
  2. Fistuca Der Wasserhammer hämmert leise
  3. Windenergie Wie umweltfreundlich sind Offshore-Windparks?

Einfuhrsteuern: Wie teuer wird ein Raspberry Pi beim harten Brexit?
Einfuhrsteuern
Wie teuer wird ein Raspberry Pi beim harten Brexit?

Bei einem No-Deal-Brexit könnten viele britische Produkte teurer und schwerer lieferbar werden - auch der populäre Bastelrechner Raspberry Pi. Mit genauen Prognosen tun sich deutsche Elektronikhändler derzeit schwer, doch decken sie sich schon vorsorglich mit den Komponenten ein.
Ein Bericht von Friedhelm Greis

  1. UK und Gibraltar EU-Domains durch Brexit doch wieder in Gefahr

Fido-Sticks im Test: Endlich schlechte Passwörter
Fido-Sticks im Test
Endlich schlechte Passwörter

Sicher mit nur einer PIN oder einem schlechten Passwort: Fido-Sticks sollen auf Tastendruck Zwei-Faktor-Authentifizierung oder passwortloses Anmelden ermöglichen. Golem.de hat getestet, ob sie halten, was sie versprechen.
Ein Test von Moritz Tremmel

  1. E-Mail-Marketing Datenbank mit 800 Millionen E-Mail-Adressen online
  2. Webauthn Standard für passwortloses Anmelden verabschiedet
  3. Studie Passwortmanager hinterlassen Passwörter im Arbeitsspeicher

    •  /