Sind im Browser gespeicherte Passwörter sicher?
#1
geschrieben 04. November 2017 - 23:42
wie sicher sind eigentlich "im Browser gespeicherte" Passwörter?
Konkret gehts mir um die aktuellen Versionen von Chrome und Firefox.
Können diese Passwörter einfach ausgelesen werden und sind im Klartext sichtbar, wenn jemand Zugriff auf den Rechner bekommt?
Anzeige
#2 _d4rkn3ss4ev3r_
geschrieben 05. November 2017 - 00:15
Daher sind die Passwörter lokal auslesbar.
Es sei du verwendest ein Masterpasswort, aber wer gibt schon ein Passwort bei jedem Browserstart ein?
Die Passwörter sind unverschlüsselt in einer Datenbank gespeichert.
Firefox-Passwörter auslesen: https://nirsoft.net/...asswordfox.html
Chrome-Passwörter auslesen: https://nirsoft.net/...chromepass.html
andere Browser auslesen: https://nirsoft.net/utils/index.html
#3
geschrieben 05. November 2017 - 00:28
Das ist als würde man einen Schlüssel mit einer Schnur an der Türklinke festbinden und um das ganz sicher zu machen, versteckt man dann den Schlüssel irgendwo. Die Schnur bleibt aber dran und man nimmt nur eine längere Schnur, damit die bis zum Versteck reicht. Da braucht man sich dann so ein besonders gutes Versteck auch nicht auszudenken.
Dieser Beitrag wurde von Holger_N bearbeitet: 05. November 2017 - 00:38
#4
geschrieben 05. November 2017 - 07:05
Zitat (Holger_N: 05. November 2017 - 00:28)
Das ist als würde man einen Schlüssel mit einer Schnur an der Türklinke festbinden und um das ganz sicher zu machen, versteckt man dann den Schlüssel irgendwo. Die Schnur bleibt aber dran und man nimmt nur eine längere Schnur, damit die bis zum Versteck reicht. Da braucht man sich dann so ein besonders gutes Versteck auch nicht auszudenken.
Wie sieht es aber mit dem Masterpasswort aus, das man einrichtet, um sich nur noch ein Passwort merken zu müssen?
Dieser Beitrag wurde von expat bearbeitet: 05. November 2017 - 07:06
#5
geschrieben 05. November 2017 - 08:07
Zitat (expat: 05. November 2017 - 07:05)
Ja sicherlich erhöht das die Sicherheit insgesamt, aber wenn Stiftung Warentest sagt, dass irgendeine Schloss-Schlüssel-Kombination nicht so besonders sicher ist, dann wäre für mich das Argument, man könne den Schlüssel ja in einen extra Tresor packen nur bedingt zufriedenstellend.
Ansonsten speichere ich Passwörter ja, weil ich mir die nicht merken will/kann und wenn ich dann eins vergesse, dann ist das eine weg. Vergesse ich aber das Masterpasswort, dann sind alle weg und die sind dann entweder richtig weg oder ich kann das Masterpasswort mit irgendwelchen Mitteln wie Firemaster doch rauskriegen. Das kann der Fremde aber dann auch.
Dieser Beitrag wurde von Holger_N bearbeitet: 05. November 2017 - 08:14
#6
geschrieben 05. November 2017 - 10:31
Zwei sinnvoll sichere Alternativen gibt es:
-1- Keepass oder dergleichen mit entsprechendem Plugin für den verwendeten Browser (Hauptangriffsfläche ist dabei der Übergabemoment)
-2- Stift und Notizbuch (oder -zettel) (Hauptangriffsfläche sind hierbei persönlich anwesende Figuren und Figurinnen)
Option 2 eignet sich daher nur bedingt für den Arbeitsplatz bzw überall da, wo jemand außer einem selber Zugriff auf besagten Block oder Zettel bekommen kann. Ansonsten kann auch der am Monitor pappende Post-It von keinem Tool ausgelesen werden (*) .
Ausnahme: Besagter Zettel befindet sich in unmittelbarer Sichtweite einer Webcam, wie seinerzeit ein gewisser Fernsehsender schmerzhaft erfahren mußte.
Dieser Beitrag wurde von RalphS bearbeitet: 05. November 2017 - 10:32
#7 _d4rkn3ss4ev3r_
geschrieben 05. November 2017 - 10:37
KeePass mit Two-Channel Auto-Type Obfuscation nutzen.
Kein Browser-Addon nötig.
Einfach nur das Loginfeld anklicken und in KeePass Autocomplete starten.
#8
geschrieben 05. November 2017 - 10:58

Das beißt sich nur immer mit diesem albernen Drang aller möglicher Websitebetreiber, Loginformulare per Script zu implementieren. Dann gibt es die nämlich zur Ladezeit oft noch nicht und man hat nichts, was man Keepass sagen könnte, wo es die Logindaten hinschreiben kann. (Besonders toll, wenn die Eingabefelder beim Focusverlust wieder ausgeblendet werden.)
Hat alles seine Vor- und Nachteile. "Sicher" ist nur, daß die browsereigenen Speicheroptionen nicht sicher sind.
#9 _Warum-nicht_
geschrieben 28. November 2017 - 22:24

#10
geschrieben 29. November 2017 - 07:47
Frage nebenbei: Reicht bei Keepass die Portable-Version für alle Features?
Dieser Beitrag wurde von Gispelmob bearbeitet: 29. November 2017 - 07:49
#11
geschrieben 29. November 2017 - 18:38
#12
geschrieben 23. Dezember 2017 - 18:46
" wenn jemand Zugriff auf den Rechner bekommt? " ?
Wäre jetzt nicht das erste Mal, dass ich sehe, dass es in einem Mehrpersonenhaushalt auf den PCs jeweils nur ein Benutzerkonto für alle gibt, oder so, und dann in Programmen wie Browsern, EMailprogrammen usw. dann doch nach der Möglichkeit mehrerer Benutzer gesucht wird.
#13
geschrieben 24. Dezember 2017 - 03:08