WinFuture-Forum.de: Sind im Browser gespeicherte Passwörter sicher? - WinFuture-Forum.de

Zum Inhalt wechseln

Nachrichten zum Thema: Sicherheit
Seite 1 von 1

Sind im Browser gespeicherte Passwörter sicher?

#1 Mitglied ist offline   j.greil 

  • Gruppe: aktive Mitglieder
  • Beiträge: 94
  • Beigetreten: 27. Mai 05
  • Reputation: 0

geschrieben 04. November 2017 - 23:42

Hallo,

wie sicher sind eigentlich "im Browser gespeicherte" Passwörter?
Konkret gehts mir um die aktuellen Versionen von Chrome und Firefox.
Können diese Passwörter einfach ausgelesen werden und sind im Klartext sichtbar, wenn jemand Zugriff auf den Rechner bekommt?
0

Anzeige

#2 Mitglied ist offline   d4rkn3ss4ev3r 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.924
  • Beigetreten: 03. Januar 09
  • Reputation: 502

geschrieben 05. November 2017 - 00:15

Chrome wird das sicher handhaben wie Firefox.
Daher sind die Passwörter lokal auslesbar.

Es sei du verwendest ein Masterpasswort, aber wer gibt schon ein Passwort bei jedem Browserstart ein?
Die Passwörter sind unverschlüsselt in einer Datenbank gespeichert.


Firefox-Passwörter auslesen: https://nirsoft.net/...asswordfox.html
Chrome-Passwörter auslesen: https://nirsoft.net/...chromepass.html

andere Browser auslesen: https://nirsoft.net/utils/index.html
"Jene, die grundlegende Freiheit aufgeben würden, um eine geringe vorübergehende Sicherheit zu erwerben,
verdienen weder Freiheit noch Sicherheit." (Benjamin Franklin)


ACTA] | IPRED | SOPA | PIPA | CISPA | INDECT | TPP | TAFTA | Stop CETA + Stop TTIP
> Mein Hells Toolbox CMD Script <
Powered by Goanna
0

#3 Mitglied ist offline   Holger_N 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.228
  • Beigetreten: 11. September 10
  • Reputation: 204

geschrieben 05. November 2017 - 00:28

Selbst wenn sie sicher irgendwo gespeichert wären, was würde das nutzen? Der Sinn dieser Speicherung besteht doch darin, dass man die Benutzernamen und Passwörter nicht jedes Mal eintippen muß, wenn man sich irgendwo einloggen will. Wenn nun jemand Zugang zum Rechner hat, brauch er das Passwort ja nicht zu wissen. Er öffnet die Seite, die er besuchen will und die Loginfelder sind schon ausgefüllt. Dann kann er sich einloggen und fertig. Wenn man das nicht so haben will und stattdessen jedes Mal die Passwörter eintippen soll, braucht man die Passwörter ja gar nicht erst im Browser zu speichern. Und wer die Passwörter wissen will, um sich dann von woanders nochmal einzuloggen, da gibts ja Tools um sich statt der Sternchen in Passwortfeldern den Klartext anzeigen zu lassen.


Das ist als würde man einen Schlüssel mit einer Schnur an der Türklinke festbinden und um das ganz sicher zu machen, versteckt man dann den Schlüssel irgendwo. Die Schnur bleibt aber dran und man nimmt nur eine längere Schnur, damit die bis zum Versteck reicht. Da braucht man sich dann so ein besonders gutes Versteck auch nicht auszudenken.

Dieser Beitrag wurde von Holger_N bearbeitet: 05. November 2017 - 00:38

Ich bin ein sehr ordentlicher, fleißiger und reinlicher Mensch, nur leider gefangen im Körper eines schmuddeligen Faulpelzes … tja, kann man nix machen …
0

#4 Mitglied ist offline   expat 

  • Gruppe: aktive Mitglieder
  • Beiträge: 608
  • Beigetreten: 23. März 08
  • Reputation: 10

geschrieben 05. November 2017 - 07:05

Beitrag anzeigenZitat (Holger_N: 05. November 2017 - 00:28)


Das ist als würde man einen Schlüssel mit einer Schnur an der Türklinke festbinden und um das ganz sicher zu machen, versteckt man dann den Schlüssel irgendwo. Die Schnur bleibt aber dran und man nimmt nur eine längere Schnur, damit die bis zum Versteck reicht. Da braucht man sich dann so ein besonders gutes Versteck auch nicht auszudenken.

Wie sieht es aber mit dem Masterpasswort aus, das man einrichtet, um sich nur noch ein Passwort merken zu müssen?

Dieser Beitrag wurde von expat bearbeitet: 05. November 2017 - 07:06

Freundliche Grüße und einen schönen Tag!

0

#5 Mitglied ist offline   Holger_N 

  • Gruppe: aktive Mitglieder
  • Beiträge: 4.228
  • Beigetreten: 11. September 10
  • Reputation: 204

geschrieben 05. November 2017 - 08:07

Beitrag anzeigenZitat (expat: 05. November 2017 - 07:05)

Wie sieht es aber mit dem Masterpasswort aus, das man einrichtet, um sich nur noch ein Passwort merken zu müssen?



Ja sicherlich erhöht das die Sicherheit insgesamt, aber wenn Stiftung Warentest sagt, dass irgendeine Schloss-Schlüssel-Kombination nicht so besonders sicher ist, dann wäre für mich das Argument, man könne den Schlüssel ja in einen extra Tresor packen nur bedingt zufriedenstellend.

Ansonsten speichere ich Passwörter ja, weil ich mir die nicht merken will/kann und wenn ich dann eins vergesse, dann ist das eine weg. Vergesse ich aber das Masterpasswort, dann sind alle weg und die sind dann entweder richtig weg oder ich kann das Masterpasswort mit irgendwelchen Mitteln wie Firemaster doch rauskriegen. Das kann der Fremde aber dann auch.

Dieser Beitrag wurde von Holger_N bearbeitet: 05. November 2017 - 08:14

Ich bin ein sehr ordentlicher, fleißiger und reinlicher Mensch, nur leider gefangen im Körper eines schmuddeligen Faulpelzes … tja, kann man nix machen …
0

#6 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 7.802
  • Beigetreten: 20. Juli 07
  • Reputation: 861

geschrieben 05. November 2017 - 10:31

Richtig, im Browser speichern heißt im Klartext speichern. Das dient hauptsächlich der Bequemlichkeit und man sollte das eigentlich pauschal abstellen, soweit und sobald man die Möglichkeit dazu hat.

Zwei sinnvoll sichere Alternativen gibt es:


-1- Keepass oder dergleichen mit entsprechendem Plugin für den verwendeten Browser (Hauptangriffsfläche ist dabei der Übergabemoment)
-2- Stift und Notizbuch (oder -zettel) (Hauptangriffsfläche sind hierbei persönlich anwesende Figuren und Figurinnen)

Option 2 eignet sich daher nur bedingt für den Arbeitsplatz bzw überall da, wo jemand außer einem selber Zugriff auf besagten Block oder Zettel bekommen kann. Ansonsten kann auch der am Monitor pappende Post-It von keinem Tool ausgelesen werden (*) .





Ausnahme: Besagter Zettel befindet sich in unmittelbarer Sichtweite einer Webcam, wie seinerzeit ein gewisser Fernsehsender schmerzhaft erfahren mußte.

Dieser Beitrag wurde von RalphS bearbeitet: 05. November 2017 - 10:32

"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

#7 Mitglied ist offline   d4rkn3ss4ev3r 

  • Gruppe: aktive Mitglieder
  • Beiträge: 3.924
  • Beigetreten: 03. Januar 09
  • Reputation: 502

geschrieben 05. November 2017 - 10:37

Es gibt noch eine dritte Alternative die ich als sicherste empfinde:

KeePass mit Two-Channel Auto-Type Obfuscation nutzen.

Kein Browser-Addon nötig.
Einfach nur das Loginfeld anklicken und in KeePass Autocomplete starten.
"Jene, die grundlegende Freiheit aufgeben würden, um eine geringe vorübergehende Sicherheit zu erwerben,
verdienen weder Freiheit noch Sicherheit." (Benjamin Franklin)


ACTA] | IPRED | SOPA | PIPA | CISPA | INDECT | TPP | TAFTA | Stop CETA + Stop TTIP
> Mein Hells Toolbox CMD Script <
Powered by Goanna
0

#8 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 7.802
  • Beigetreten: 20. Juli 07
  • Reputation: 861

geschrieben 05. November 2017 - 10:58

Ja, klar, per Keepass' eigener Übergabefunktionen geht natürlich auch. :)

Das beißt sich nur immer mit diesem albernen Drang aller möglicher Websitebetreiber, Loginformulare per Script zu implementieren. Dann gibt es die nämlich zur Ladezeit oft noch nicht und man hat nichts, was man Keepass sagen könnte, wo es die Logindaten hinschreiben kann. (Besonders toll, wenn die Eingabefelder beim Focusverlust wieder ausgeblendet werden.)

Hat alles seine Vor- und Nachteile. "Sicher" ist nur, daß die browsereigenen Speicheroptionen nicht sicher sind.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
1

#9 Mitglied ist offline   Warum-nicht 

  • Gruppe: Mitglieder
  • Beiträge: 2
  • Beigetreten: 28. November 17
  • Reputation: 0

geschrieben 28. November 2017 - 22:24

Das mit dem Keepass werd ich mal ausprobieren... hab davon zwar noch nie was gehört, aber zweifle auch schon immer an der Sicherheit der gespeicherten Passwörter im Browser :rolleyes:
0

#10 Mitglied ist offline   Gispelmob 

  • Gruppe: aktive Mitglieder
  • Beiträge: 1.182
  • Beigetreten: 14. August 15
  • Reputation: 98

geschrieben 29. November 2017 - 07:47

Es gibt Loginseiten da funktioniert STRG+V nicht, wenn ich die Passöwrter aus meiner Tabelle kopieren will. Da in diesen Feldern keinerlei Menü zugelassen wird, kann ich mir vorstellen dass dort auch kein Keepass funktioniert. Allerdings von diesen Seiten hab ich bisher nur 1-2 bemerkt.

Frage nebenbei: Reicht bei Keepass die Portable-Version für alle Features?

Dieser Beitrag wurde von Gispelmob bearbeitet: 29. November 2017 - 07:49

0

#11 Mitglied ist offline   RalphS 

  • Gruppe: VIP Mitglieder
  • Beiträge: 7.802
  • Beigetreten: 20. Juli 07
  • Reputation: 861

geschrieben 29. November 2017 - 18:38

Das ist eine .NET-Applikation, also ja.
"If you give a man a fish he is hungry again in an hour. If you teach him to catch a fish you do him a good turn."-- Anne Isabella Thackeray Ritchie

Eingefügtes Bild
Eingefügtes Bild
0

Thema verteilen:


Seite 1 von 1

1 Besucher lesen dieses Thema
Mitglieder: 0, Gäste: 1, unsichtbare Mitglieder: 0