Wie sicher ist der Passwort-Manager in Browsern?

13

Zum Beispiel verfügt Opera über eine "Zauberstab" -Funktion, die Benutzernamen und Kennwörter speichert, die Sie auf verschiedenen Websites eingegeben haben.

Angenommen, Sie erhalten einen Trojaner, der Daten von Ihrem PC stiehlt. Kann der Trojaner gespeicherte Passwörter von Browsern entschlüsseln und verwenden?

Alex
quelle

Antworten:

4

Die in Bobs Antwort angegebenen Punkte sind alle gültig, daher werde ich sie nicht wiederholen. Ich dachte jedoch, dass ein paar zusätzliche Informationen für einige hilfreich sein könnten, da Ihre Frage ein berechtigtes Anliegen ist.

  • Mit der Zauberstab-Funktion von Opera können Sie festlegen, wie oft Sie nach Ihrem Master-Passwort gefragt werden. Wählen Sie dazu Preferences > Advanced > Security > Ask for passwordbeispielsweise "Einmal pro Sitzung" (Bob weist darauf hin, dass dies Ihre Sicherheit einschränkt) oder "Alle x Minuten / Stunden" (falls Sie dies nicht tun) Es macht nichts aus, mit .iniDateien zu fummeln , Sie können Ihre eigene Häufigkeit anpassen) und "Jedes Mal benötigt" (offensichtlich die sicherste Option, da Ihr Kennwort während Ihrer Browsersitzung nicht im Speicher gespeichert wird). Ich verwende Firefox nicht, kann mir aber vorstellen, dass irgendwo eine ähnliche Erweiterung verfügbar ist.

  • Die Wand-Daten werden in einer so genannten Datei wand.datin einem Format gespeichert, das mit relativ geringem Aufwand entschlüsselt werden kann, wenn kein Master-Passwort verwendet wird. wenn Sie tun ein Master - Passwort verwenden, es verschlüsselt wird eine Zufallskomponente und Ihr Master - Passwort mit einem Algorithmus, der zur Zeit ich entkommt (sollte einfach sein , obwohl zu sehen).

  • Wenn Sie ein Kennwort für eine Site verwenden, deren Sicherheit für Sie wichtiger ist als die durchschnittliche Anmeldung, können Sie einfach festlegen , dass das Kennwort nicht gespeichert wird .

  • Mit privaten Registerkarten in Opera (oder deren Entsprechung in anderen Browsern) können Sie die Sitzungsdaten dieser Registerkarte getrennt von denen in "normalen" Registerkarten speichern, wodurch möglicherweise eine weitere Sicherheitsebene hinzugefügt wird.

  • Das in Chrome und seinen Derivaten verwendete Sicherheitsmodell (dh das Sandboxen der einzelnen Registerkarten in einem separaten Thread) bietet Ihnen noch mehr Sicherheit.

  • Gegen Keylogger und dergleichen können Sie sich schützen, indem Sie regelmäßig:

    • Aktualisieren Ihrer Antiviren- und Firewall-Software; und
    • Ändern Sie Ihre Passwörter.

Um zusammenzufassen:

  • Das Sicherheitsniveau Ihres Browsers und das Ihrer Anmeldungen hängt weitgehend von Ihnen ab .

  • Wenn jemand sehr geschickt und einfallsreich wäre, könnte er trotz aller oben genannten Vorsichtsmaßnahmen möglicherweise auf Ihre Daten zugreifen. Dies würde jedoch die Sicherheit der Daten Ihres Browsers erheblich erhöhen und den Grad an Raffinesse erhöhen, der erforderlich ist, um sie zu knacken.

Amos M. Carpenter
quelle
22
  • Wenn Sie Malware auf Ihrem Computer haben, können keine eingegebenen oder gespeicherten Passwörter als wirklich sicher angesehen werden. Selbst verschlüsselte Passwörter wie KeyPass-Datenbanken können vom Angreifer abgerufen werden, sobald Sie die zum Entschlüsseln erforderlichen Daten eingeben.

  • Browser achten in der Regel nicht sehr auf die Sicherheit gespeicherter Kennwörter, zumindest nicht mit Standardeinstellungen.


Angenommen, Sie erhalten einen Trojaner, der Daten von Ihrem PC stiehlt. Kann der Trojaner gespeicherte Passwörter von Browsern entschlüsseln und verwenden?

Mit einem Wort: ja. Browser verschlüsseln in der Regel keine gespeicherten Kennwörter, sodass sie mit geringem Aufwand gelesen werden können. Die Verschlüsselung mit einem gespeicherten Schlüssel ist ohnehin nutzlos: Wenn der Browser ihn entschlüsseln kann, können andere Programme, die auf demselben Computer ausgeführt werden, dasselbe tun.

Ich kenne mich am besten mit Firefox aus, also gehe ich damit um.

In Firefox können Sie ein 'Hauptkennwort' festlegen. In diesem Fall werden die gespeicherten Kennwörter mit dem Hauptkennwort verschlüsselt. Der Einfachheit halber müssen Sie sich jedoch nur einmal pro Sitzung mit diesem Hauptkennwort anmelden. Sobald Sie angemeldet sind, werden die Informationen, die zum Entschlüsseln gespeicherter Kennwörter erforderlich sind, im Speicher gespeichert und können abgerufen werden. Ein sichererer und umständlicherer Ansatz wäre gewesen, das Master-Passwort jedes Mal einzugeben, wenn Firefox ein gespeichertes Passwort nachschlagen musste.

Auch wenn die gespeicherten Passwörter perfekt verschlüsselt und vollständig unzugänglich waren, müssen sie irgendwann entschlüsselt und in Webformulare eingegeben werden. Das heißt, die Passwörter unverschlüsselt im Speicher zu halten. Tatsächlich gibt es einige ' Asterisk- Enthüllungs' -Programme, die entwickelt wurden, um diese Passwörter aus dem Speicher zu holen und sie zu enthüllen. Malware könnte theoretisch dasselbe tun.

Malware kann Sie auch per Keylogging protokollieren, sodass der Angreifer jedes von Ihnen eingegebene Kennwort abrufen kann.


Es gibt eine sehr eingehende Untersuchung der Passwortsicherheit in gängigen Browser (IE, Chrome, FF) hier . Zusammenfassend gesagt verlassen sich sowohl Chrome als auch IE10 auf die Verschlüsselungsroutinen von Windows, die als stark gelten. Sie schützen jedoch nicht vor anderen Programmen, die unter demselben Benutzer ausgeführt werden , dh sie sind gegen Malware nutzlos. Auch hier kann jedes ausführende Programm (als Administrator) Informationen aus dem Speicher oder durch Keylogging abrufen.

Die Verschlüsselungsmethode ist am wichtigsten, wenn Sie die Möglichkeit eines Diebstahls Ihrer gespeicherten Daten für eine spätere Analyse in Betracht ziehen, z. B. wenn sich jemand in Ihren Computer einschleicht und ihn kopiert oder ihn stiehlt. Im Allgemeinen leisten alle modernen Browser einen angemessenen Schutz gegen diese Art von Angriff. Firefox mit einem guten, sicheren Kennwort wird erneut bevorzugt, da die mit Windows verschlüsselten Daten durch Anmelden am Windows-Benutzerkonto wiederhergestellt werden können und das Windows-Kennwort nicht mehr vollständig sicher ist. Beachten Sie, dass nichts einen sehr entschlossenen Angreifer aufhält.

Bob
quelle
Beachten Sie, dass die Möglichkeiten eines böswilligen Angreifers, Ihre Passwörter zu stehlen, erheblich eingeschränkt sind, wenn Sie einen Authentifikator verwenden.
o0 '.
1

NirSoft bietet ein Tool namens "IEPassView" an, mit dem Internet Explorer 8 und Passwörter entschlüsselt werden können. Die Systeminformationen für Windows können dasselbe tun. Klicken Sie einfach auf den Schlüssel oben.

NirSoft bietet Tools zur Wiederherstellung von Passwörtern für viele gängige Browser ( http://www.nirsoft.net/password_recovery_tools.html ). Diese sind ein guter "Proof of Concept", um zu zeigen, dass der integrierte Passwortspeicher nicht sicher ist .

Chris
quelle
Ähm ... das ist eigentlich etwas irreführend. Sie haben nicht erwähnt, dass solche Tools bei Anmeldungen, die durch ein Hauptkennwort geschützt sind, überhaupt nicht funktionieren, oder Sie benötigen das Hauptkennwort, um die Anmeldedaten zu "entschlüsseln". Zumindest gilt dies für Opera / Chrome / Firefox. Sie sind sich nicht sicher, was der IE leistet. Möglicherweise sind Sie hier richtig.
Amos M. Carpenter
1

Lastpass und Software wie es sind gute bequeme Antworten. Obwohl sie Ihnen keine vollständige Sicherheit bieten (Sie müssen noch die Grundlagen wie Firewall, Anti-Virus usw. ausführen), ist sie eine gute Möglichkeit, Ihre Kennwörter zu verwalten. Auch aufgrund der Tatsache, dass es in der magischen Cloud gespeichert ist, können Sie von überall darauf zugreifen (im Gegensatz zu einigen lokalen Programmen, in denen Sie auf Ihrem Computer speichern müssen, um darauf zuzugreifen).

Greif
quelle
1
Ich möchte noch einmal darauf hinweisen, dass dies nicht vor lokal ausgeführter Malware schützen würde. Erstens könnte Malware Ihr Lastpass-Master-Passwort abfangen. Die Zwei-Faktor-Authentifizierung kann dagegen schützen, aber Sie können die Kennwörter verlieren, wenn Sie sie in die Zielwebseite eingeben. Tatsache ist, wenn Malware auf Ihrem Computer ausgeführt wird (erhöht), werden Ihre unverschlüsselten Daten geschraubt. Und Ihre verschlüsselten Daten werden geschraubt, sobald Sie versuchen, darauf zuzugreifen.
Bob
(Es ist immer noch ein guter Vorschlag [ich persönlich verwende Keepass, nichts von diesem Wolkenmüll], aber ich muss den in der Frage angesprochenen Punkt ansprechen.)
Bob
@ Bob gibt es auch das Problem, dass auch auf dem lokalen Computer Malware das gleiche tun kann, um Passwörter abzufangen. Das Kopieren und Einfügen kann ebenfalls nachverfolgt werden. Wenn Sie also ein Kennwort verwenden, wird es nachverfolgt. Es gibt keinen guten Weg, 2-Faktor-Authentifizierung ist wirklich schwer zu schlagen.
Griffin
Ja, ich sage nicht, dass Keepass vor lokaler Malware sicherer ist.
Bob