ComputerBase Menü
Aktuelles

Passwörter im Browser (Chrome) unsicher?

Nilo

Nilo

Lt. Commander
Registriert
Mai 2017
Beiträge
1.784
Hallo,
ich hoffe, dieser Thread ist nicht unnötig. Aber ich habe mir eben den neuen Opera GX runtergeladen und auch gleich den Haken bei "Lesezeichen aus Standardbrowser übernehmen" gesetzt.
Nun bin ich über den neuen Opera hier auf CB und habe festgestellt, das ich automatisch angemeldet wurde. Also wurden mit den Lesezeichen auch die gespeicherten Paswwörter übernommen. Dies wiederum heißt für mich jetzt, dass diese von anderen Anwendungen ohne mein aktives zutun einfach aus Chrome ausgelesen werden können, was mich für Viren, etc. ja wohl sehr anfällig macht.
Mir ist klar, das man generell keine Passwörter im Browser speichern sollte, doch bei manchen Seiten siegt leider die Bequemlichkeit und bisher hatte ich auch wenigstens ein bisschen zutrauen in Google, meine PWs ordentlich aufzubewahren...
Klar habe ich bei der Installation von Opera mein Admin PW eingegben, jedoch nur zu beginn, beim Start der exe. Sind die Passwörter nun trotzdem durch mein PC Passwort geschützt oder sind sie so unsicher und unverschlüsselt, wie es mir gerade vorkommt?

PS: Falls es noch nicht klar ist, mein Standardbrowser ist sonst Chrome ;)

VG und Danke!
Nilo
 
ich speichere auch immer die Passwörter im Browser........seit Jahren.
Konnte noch nicht beobachten, dass etwas damit passiert wäre.

Aber muss auch zugeben, so richtig sicher fühle ich mich auch nicht.
 
Da man sich die Passwörter, welche im Browser gespeichert sind, in der Regel im Klartext anzeigen lassen kann, ist das Verhalten von Opera hier ganz normal.

Ohne zu sagen, dass das Speichern seiner Passwörter im Browser unsicher ist, ist ein externes Speichern in einem Passwortmanager von der Natur der Sache her natürlich schon sicherer. Wenn man den Manager dann allerdings in den Browser einbindet, was ja meist geht, muss man erneut schauen.

Passwörter von Seiten auf denen ich keine besonderen Berechtigungen habe, wie zum Beispiel hier, speichere ich auch einfach im Browser. Im Zweifelsfall ist der Zugang schnell wieder hergestellt. Bei wichtigen Dingen liegen die in keypass(2) oder (falls möglich) im Kopf.
 
Ja ich kann in chrome meine passwörter auslesen, aber erst nachdem ich meinene Bneutzername und PW des PCs eingegben habe... dies ist vlt beim Start der exe vom Opera Installer geschehen, finde ich aber ohne weitere Nachfrage, dennoch äußerst bedenklich und bin mir nun nichtmehr sicher, ob dies wirklich so sicher und gut funktioniert...
Amazon werde ich aus der gespeicherten Liste löschen, der Rest sind eh nur Foren und alles Andere hab ich im Kopf...
 
Ich nutze ausschließlich KeePass, keine Seite wo ich ein Konto habe, hat ein leichtes Passwort
 
  • Gefällt mir
Reaktionen: Roan
DocWindows schrieb:
@Nilo Es gab schon einen Fall wo eine Firma bewusst massenhaft Passwörter aus Chrome ausgelesen hat um damit Zugang zu Piracyforen zu erlangen.

https://www.vice.com/en_us/article/pamzqk/fs-labs-flight-simulator-password-malware-drm

Sicher ist man nur wenn man ein Passwort auf die gespeicherten Logindaten setzt, womit diese dann verschlüsselt werden. Bei Firefox geht das. Bei Chrome weiss ich es nicht.
Zum Vergrößern anklicken....
Okay ist ja interessant...
bei Chrome habe ich die Funktion gesucht, gibt es aber anscheinend nicht.

Edit: Ich wüsste nurmal gerne, ob das ganze auch ohne eingeben des Admin PWs funktioniert, denn das ist noch so der letzte Sicherheitshaken, an den ich mich gerade klammere... Steht ja leider auch nicht im Artikel, ob man für diesen Installer, das PW eingeben musste (obwohl ich mal stark davon ausgehe). Finds schon krass, das sich das ganze im Prinzip offenbar so easy auslesen lässt.
 
Zuletzt bearbeitet:
Nilo schrieb:
Ich wüsste nurmal gerne, ob das ganze auch ohne eingeben des Admin PWs funktioniert, denn das ist noch so der letzte Sicherheitshaken, an den ich mich gerade klammere...
Zum Vergrößern anklicken....
Dein Windows-Passwort ist absolut für die Katz. Das kann man quasi sofort umgehen oder spätestens wenn die Platte in nem anderen Rechner hängt, ist das obsolet.

Sicherheit erreichst du nur, wenn du das Verzeichnis von Chrome via EFS verschlüsseln lässt oder gar zu Bitlocker/VeraCrypt greifst. EFS hat den Vorteil, dass einzelne Daten verschlüsselt vorliegen und beim Zurücksetzen des Accounts/Passworts die Daten ebenso ungültig werden (und ohne das entsprechende Zertifikat kommst du nicht mehr an die Daten ran). Ein Einhängen in einen anderen PC und Auslesen der Passwörter geht also nicht mehr. Aber dann hast du das Problem, dass sobald du angemeldet bist, jedes Programm Zugriff auf deine Passwörter hat (da ja nur transparent via EFS verschlüsselt, aber nicht die Datei selbst). Das umgehst du nur, wenn du ein Master-Passwort setzt und jedes mal beim Browser eingibst.

Das Master-Passwort ist ergo die einzig effektive Lösung.
Nilo schrieb:
Finds schon krass, das sich das ganze im Prinzip offenbar so easy auslesen lässt.
Zum Vergrößern anklicken....
Dann musst du für jede Anwendung einen eigenen Benutzer erstellen... Was zu viel Aufwand ist. "Apps" will dagegen keiner, obwohl die wenigstens ein ordentliches Sandboxing mit einer ordentlichen Rechtevergabe besitzen.
 
Naja mir geht es momentan nicht so um den physischen Schutz, denn sobald jemand vorm PC sitzt und dieser nicht aus und verschlüsselt ist, hat man eh gelitten, sondern vielmehr darum, dass dann ja fast jedes Programm meine Passwörter von Chrome und Opera auslesen kann.
Master Passwort gibt es leider nur beim Firefox, den ich eigentlich nicht mag... Aber werde mich da Mal einlesen und falls der elementar mehr Sicherheit bietet wohl dennoch wechseln.
 
Sicher wogegen?
Yuuri schrieb:
Dein Windows-Passwort ist absolut für die Katz. Das kann man quasi sofort umgehen oder spätestens wenn die Platte in nem anderen Rechner hängt, ist das obsolet.
Zum Vergrößern anklicken....
Das stimmt nicht so ganz. Du kannst natürlich alle unverschlüsselte Daten auslesen, aber Windows verschlüsselt mit dem Passwort einige Daten bzw. Programme können den Mechanismus verwenden um geheime Daten zu verschlüsseln. Diese sind dann ohne Passwort nicht verfügbar. Genau diesen Mechanismus (https://en.wikipedia.org/wiki/Data_Protection_API) verwendet Chrome. Unter Linux/Gnome gibt es einen äquivalenten Mechanismus, da heißt er Gnome Keyring. Mac OS hat das auch, keine Ahnung wie das da heißt. Keyring oder so.
 
Nilo schrieb:
Ich wüsste nurmal gerne, ob das ganze auch ohne eingeben des Admin PWs funktioniert, denn das ist noch so der letzte Sicherheitshaken, an den ich mich gerade klammere... Steht ja leider auch nicht im Artikel, ob man für diesen Installer, das PW eingeben musste
Zum Vergrößern anklicken....

Für den Installer musste man das Passwort eingeben, bzw. die UAC-Meldung bestätigen. Rein theoretisch (ich habs nicht ausprobiert) sollte es zum Auslesen der Passwörter nicht nötig sein den Dialog zu bestätigen. Wenn du Chrome startest und Chrome die Passwörter einliest, musst du ja auch nichts bestätigen.
 
DocWindows schrieb:
Für den Installer musste man das Passwort eingeben, bzw. die UAC-Meldung bestätigen. Rein theoretisch (ich habs nicht ausprobiert) sollte es zum Auslesen der Passwörter nicht nötig sein den Dialog zu bestätigen. Wenn du Chrome startest und Chrome die Passwörter einliest, musst du ja auch nichts bestätigen.
Zum Vergrößern anklicken....
Eigentlich sehe ich das genauso... Praktisch werde ich es einfach Mal ausprobieren. Allerdings wird Chrome wohl keine Bestätigung brauchen, weil es die Chrome eigenen Dateien sind und Chrome ja damit arbeiten muss und deswegen natürlich dauerhaft die Berechtigung hat die eigenen Dateiverzeichnisse zu lesen, würde ich sagen.
 
Im Gegensatz zu Firefox (wenn kein Master-Passwort verwendet wird) speichert Chrome die Passwörter nicht im Klartext ab. Die Datenbank wird mit dem Windows-Anmeldekennwort gegen Zugriffe geschützt. Ist das Anmeldekennwort hinreichend komplex, kommt man nicht so einfach an deine gespeicherten Kennwörter ran. Sollte das Windows-Kennwort dem Angreifer bekannt sein, hast du natürlich verloren.

Ich würde immer einen separaten Passwort-Manager vorziehen.
 
Ja, das ganze wird verschlüsselt gespeichert, aber sobald man sich eingeloggt hat stehen die Daten zur Verfügung.
Von daher würde ich auch zu einem Passwort-Manager raten.
 
  • Gefällt mir
Reaktionen: Nilo
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

B
Passwörter im Browser speichern gefährlich?
Antworten
7
Aufrufe
2.301
Biedronka
B
EmmaL
Passwörter im Browser speichern - wie (un)sicher?
Antworten
18
Aufrufe
1.975
Blende Up
Blende Up
U
Sind Passwörter im Browser sicher? (Sync)
  • UhrenPeter
  • Online
Antworten
12
Aufrufe
2.922
Mahagonii
Mahagonii
h00bi
Passwörter aus Safari/Schlüsselbund in w10 Browser/Chrome
Antworten
1
Aufrufe
3.809
madmax2010
madmax2010
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz