So verhindern Sie, dass Personen die gespeicherten Passwörter Ihres Browsers anzeigen können
Haben Sie jemals ein Kennwort in Ihrem Browser gespeichert - Chrome, Firefox, Internet Explorer oder ein anderes? Ihre Passwörter können dann wahrscheinlich von allen Personen angezeigt werden, die Zugriff auf Ihren Computer haben, während Sie angemeldet sind.
Die Entwickler von Chrome und Firefox sind der Meinung, dass dies in Ordnung ist. Sie sollten verhindern, dass Personen überhaupt auf Ihren Computer zugreifen. Dies ist jedoch für viele Menschen eine Überraschung.
Wie jeder, der Zugriff auf Ihren Computer hat, Ihre Kennwörter anzeigen kann
Wenn Sie Ihren Computer angemeldet lassen und von einem anderen Benutzer verwendet werden, kann er die Seite "Einstellungen" von Chrome öffnen, zum Abschnitt "Kennwörter" gehen und jedes gespeicherte Kennwort anzeigen.
Sie können chrome: // settings / passwords in die Adressleiste von Chrome stecken, um auf diese Seite zugreifen zu können. Klicken Sie auf ein Kennwortfeld und dann auf die Schaltfläche "Anzeigen". Sie können jedes in Chrome gespeicherte Kennwort ohne weitere Aufforderungen anzeigen.
Mit den Standardeinstellungen von Firefox können Sie das Fenster Optionen öffnen, den Bereich Sicherheit auswählen und auf die Schaltfläche Gespeicherte Kennwörter klicken. Wählen Sie Kennwörter anzeigen, um eine Liste aller in Firefox auf Ihrem Computer gespeicherten Kennwörter anzuzeigen.
In Firefox können Sie ein "Hauptkennwort" festlegen, das eingegeben werden muss, bevor Sie gespeicherte Kennwörter anzeigen oder verwenden können. Dies ist jedoch standardmäßig deaktiviert, und Firefox fordert den Benutzer nicht zur Einrichtung eines Kennworts auf.
Internet Explorer bietet keine integrierte Möglichkeit, die gespeicherten Kennwörter anzuzeigen. Diese scheinbare Sicherheit ist jedoch irreführend. Mit einem Dienstprogramm wie dem kostenlosen IE PassView können Sie alle gespeicherten IE-Kennwörter für das aktuelle Benutzerkonto anzeigen. Sie können Kennwörter auch anzeigen, ohne Software zu installieren. Besuchen Sie einfach eine Website, auf der das Kennwort automatisch ausgefüllt wird, und verwenden Sie das Lesezeichen Reveal Passwords, um das automatisch eingegebene Kennwort anzuzeigen.
Was ist denn hier los? Ist dies eine Sicherheitsanfälligkeit??
Unter den Geeks gab es eine Debatte darüber, ob dies wirklich eine Sicherheitsanfälligkeit ist. Sollten die Entwickler von Chrome (und die Entwickler anderer Browser wie Internet Explorer und sogar Firefox mit seinen Standardeinstellungen) dieses Verhalten ändern? Wurden Benutzer von Entwicklern verraten, vorausgesetzt, Browser werden Benutzer nicht über dieses Verhalten warnen?
Einerseits gibt es einige gute Argumente für das aktuelle Verhalten.
- Sowohl Chrome als auch Internet Explorer sichern Ihre gespeicherten Kennwörter mit dem Kennwort Ihres Windows-Benutzerkontos. Wenn Sie nicht angemeldet sind, können Sie auf Ihre Passwörter nicht zugreifen. Wenn ein Angreifer das Kennwort Ihres Windows-Kontos ändert, kann auf Ihre Kennwörter nicht mehr zugegriffen werden. Wenn Sie ein starkes Windows-Kennwort verwenden und Ihren Computer sperren, wenn Sie es nicht verwenden, sind Sie theoretisch sicher.
- Wenn ein Angreifer physischen Zugriff auf Ihren Computer hat oder ein böswilliges Programm im Hintergrund ausgeführt wird, kann er Ihre Tastatureingaben protokollieren und ein "Master-Passwort" erhalten, mit dem Sie Ihre Passwörter in Firefox oder einen dedizierten Passwort-Manager wie LastPass schützen. Ein Master-Passwort in Chrome bietet ein falsches Sicherheitsgefühl.
- Ein Hauptkennwort ist eine zusätzliche Sicherheitsmethode, die den Durchschnittsbenutzer stört, der es trotzdem deaktivieren würde. Benutzer möchten kein Master-Passwort eingeben, bevor sie ihre gespeicherten Passwörter verwenden.
- Wenn Ihr Browser bereits bei einem Konto auf einer Website angemeldet ist, kann der Angreifer Zugriff auf Ihr Konto auf dieser Website erhalten, sofern er Zugriff auf Ihren Browser hat.
Andererseits befolgen Benutzer in der realen Welt keine perfekten Sicherheitsmaßnahmen:
- Viele Benutzer teilen sich Windows-Benutzerkonten, richten ihre Computer so ein, dass sie sich automatisch anmelden, oder dass Gäste ihre Computer verwenden können, ohne die ganze Zeit über die Schulter zu schauen. Dies macht den Zugriff auf gespeicherte Passwörter trivial. Jeder, der auch nur aus der Ferne neugierig ist, kann einen Blick auf die Passwörter werfen.
- Mit einem Hauptkennwort können Benutzer ihre Kennwortdatenbank weiter absichern, so dass sie Kennwörter speichern können, ohne sich Gedanken darüber zu machen, dass Gäste ihren Computer verwenden und versucht werden, einen Blick darauf zu werfen.
- Viele Windows-Benutzerkontokennwörter sind extrem schwach, so dass die Kennwörter wenig geschützt sind. Viele Menschen sperren ihre Computer auch nicht jedes Mal, wenn sie weggehen.
- Chrome stellt mehrere Benutzerprofile zur Verfügung, die Benutzer dazu ermutigen, Chrome-Profile für ein einzelnes Benutzerkonto freizugeben, bietet jedoch keine Möglichkeit, diese Profile zu isolieren und zu verhindern, dass andere Chrome-Benutzerprofile auf andere Kontokennwörter zugreifen
- Wenn ein Angreifer Zugriff auf eine bereits angemeldete Website hat, Ihr Kennwort jedoch nicht vorhanden ist, können Sie Ihr Kennwort nicht ändern oder Ihr Konto löschen.
- Durchschnittsbenutzer erwarten wahrscheinlich, dass ihre Kennwörter schwieriger einzusehen sind. Es gibt keine Warnung, dass alle Personen, die Zugriff auf ihre Computer haben, ihre gespeicherten Kennwörter einsehen können oder ein starkes Windows-Kennwort festlegen und die Computer sperren müssen, wenn sie sich von ihnen entfernen.
Welche Seite ist also richtig? Nun, Chrome sichert Ihr Passwort, wenn Sie ideale Sicherheitsverfahren einhalten. Allerdings bietet Chrome (und IE und Firefox in der Standardkonfiguration) den Benutzern auch nicht genügend Informationen darüber, was sie tun. In der realen Welt könnte ein Master-Passwort für viele Menschen nützlich sein.
So schützen Sie Ihre gespeicherten Kennwörter
Wenn Sie sich um Ihre gespeicherten Passwörter Sorgen machen, können Sie sie mit folgenden Tipps vor neugierigen Blicken schützen:
- Verwenden Sie einen dedizierten Kennwortmanager wie LastPass. Diese Kennwortmanager arbeiten mit jedem Browser zusammen und stellen ein Hauptkennwort bereit, das den Zugriff auf Ihre Kennwörter sperrt, wenn Sie abgemeldet sind. Die Entwickler von Chrome möchten Ihnen möglicherweise nicht die Hauptkennwortfunktion geben. Sie können sie jedoch selbst hinzufügen, indem Sie LastPass anstelle des Standard-Kennwortmanagers von Chrome verwenden. Es ist eine rundum leistungsfähigere Option, wie auch andere Passwort-Manager wie KeePass.
- Wenn Sie Firefox verwenden, aktivieren Sie die Master-Passwort-Funktion. Dies ist standardmäßig deaktiviert, da die Entwickler von Firefox die Benutzererfahrung nicht mögen. Mit einem Hauptkennwort können Sie Ihre Kennwortdatenbank jedoch mit einem einzigen Hauptkennwort sperren. Sie können dann Ihr Benutzerkonto für andere Personen freigeben, so dass diese keinen Einblick in Ihre Passwörter erhalten. Sicher, sie könnten einen Schlüssel-Logger installieren, während Sie nicht hinschauen, aber viele Leute, die versucht sein könnten, Ihre Passwörter durchzublättern, würden nicht den ganzen Weg mit einem Schlüssel-Logger gehen wollen. Deshalb schließen wir unsere Türen ab - die Schlösser sind nicht perfekt, aber sie halten ehrliche Menschen ehrlich.
- Wenn Sie Chrome oder Internet Explorer verwenden und den integrierten Kennwortmanager weiterhin verwenden möchten, stellen Sie sicher, dass Sie gute Sicherheitsmaßnahmen einhalten. Legen Sie ein starkes Windows-Benutzerkontokennwort fest und sperren Sie Ihren Computer, wenn Sie sich von ihm entfernen. Jemand, der Zugriff auf Ihren Computer hat, während er angemeldet ist, kann schnell einen Blick auf Ihre Passwörter werfen - insbesondere bei Chrome.
Möchten Sie detailliertere Informationen darüber, wie sicher Ihre gespeicherten Passwörter in dem von Ihnen verwendeten Browser sind? Informieren Sie sich ausführlich über die Kennwortsicherheit von Chrome und die Kennwortsicherheit von Internet Explorer.