Eine häufig gestellte Frage zum Google Chrome-Browser lautet: "Warum gibt es kein Hauptkennwort?" Google hat (inoffiziell) vertrat die Position, dass ein Hauptkennwort ein falsches Sicherheitsgefühl vermittelt und die praktikabelste Form des Schutzes für diese sensiblen Daten die Gesamtsystemsicherheit ist.
Wie sicher sind Ihre gespeicherten Passwortdaten in Google Chrome?
Gespeicherte Passwörter anzeigen
Chrome enthält einen eigenen Passwort-Manager, auf den Sie über Optionen> Persönliche Daten> Gespeicherte Passwörter verwalten zugreifen können. Dies ist nichts Neues. Wenn Sie Chrome erlauben, Ihre Kennwörter zu speichern, ist Ihnen diese Funktion wahrscheinlich bereits bekannt.
Eine nette Kleinigkeit der Sicherheit ist, dass Sie zuerst auf die Schaltfläche "Anzeigen" neben jedem Kennwort klicken müssen, das Sie anzeigen möchten.
Es gibt zwar keine Einschränkung für den Zugriff auf diesen Bildschirm (dh wenn Sie Zugriff auf den Desktop haben, auf dem Chrome installiert ist, können Sie auf die Kennwörter zugreifen), es sind jedoch mindestens Benutzereingriffe erforderlich, um jedes Kennwort anzuzeigen, ohne dass es in großen Mengen exportiert werden kann zu einer einfachen Textdatei.
Wo werden die Passwortdaten gespeichert?
Die gespeicherten Kennwortdaten werden in einer SQLite-Datenbank gespeichert, die sich hier befindet:
% UserProfile% \ AppData \ Local \ Google \ Chrome \ Benutzerdaten \ Standard \ Anmeldedaten
Sie können diese Datei (der Dateiname lautet nur "Anmeldedaten") mit dem SQLite-Datenbankbrowser öffnen und die Tabelle "Anmeldungen" anzeigen, die die gespeicherten Kennwörter enthält. Sie werden feststellen, dass das Feld "password_value" nicht lesbar ist, da der Wert verschlüsselt ist.
Wie sicher sind die verschlüsselten Daten?
Um die Verschlüsselung (unter Windows) durchzuführen, verwendet Chrome eine von Windows bereitgestellte API-Funktion, mit der die verschlüsselten Daten nur von dem Windows-Benutzerkonto entschlüsselt werden können, das zum Verschlüsseln des Kennworts verwendet wird. Ihr Hauptkennwort ist also im Wesentlichen Ihr Windows-Kontokennwort. Sobald Sie mit Ihrem Konto bei Windows angemeldet sind, können diese Daten von Chrome entschlüsselt werden.
Da Ihr Windows-Kontokennwort jedoch eine Konstante ist, ist der Zugriff auf das „Hauptkennwort“ nicht nur Chrome vorbehalten, da externe Dienstprogramme diese Daten auch abrufen und entschlüsseln können. Mit dem frei verfügbaren Dienstprogramm ChromePass von NirSoft können Sie alle Ihre gespeicherten Kennwortdaten anzeigen und einfach in eine Nur-Text-Datei exportieren.
Wenn das ChromePass-Dienstprogramm auf diese Daten zugreifen kann, ist es daher sinnvoll, dass Malware, die als der jeweilige Benutzer ausgeführt wird, ebenfalls darauf zugreifen kann. Wenn der ChromePass.exe wird auf VirusTotal hochgeladen Etwas mehr als die Hälfte der Antiviren-Engines weist darauf hin, dass dies gefährlich ist. Obwohl das Dienstprogramm in diesem Fall sicher ist, ist es ein wenig beruhigend zu sehen, dass dieses Verhalten zumindest von vielen AV-Paketen gekennzeichnet wird (obwohl Microsoft Security Essentials nicht zu den AV-Engines gehört, die es als gefährlich gemeldet haben).
Kann der Schutz umgangen werden?
Angenommen, Ihr Computer ist gestohlen und der Dieb Setzt Ihr Windows-Passwort zurück um sich nativ bei Ihrer Installation anzumelden. Wenn sie anschließend versuchen würden, die Kennwörter in Chrome anzuzeigen oder das ChromePass-Dienstprogramm zu verwenden, wären die Kennwortdaten nicht verfügbar. Der Grund ist einfach, da das „Hauptkennwort“ (das Ihr Windows-Kennwort vor dem erzwungenen Zurücksetzen außerhalb von Windows war) nicht übereinstimmt und die Entschlüsselung fehlschlägt.
Wenn jemand einfach die SQLite-Datenbankdatei für das Chrome-Kennwort kopiert und versucht, auf einem anderen Computer darauf zuzugreifen, zeigt ChromePass aus demselben oben erläuterten Grund leere Kennwörter an.
Fazit
Letztendlich hängt die Sicherheit der in Chrome gespeicherten Passwörter vollständig vom Benutzer ab:
- Verwenden Sie ein sehr sicheres Windows-Kontokennwort. Denken Sie daran, es gibt Dienstprogramme, die Windows-Kennwörter entschlüsseln können . Wenn jemand Ihr Windows-Kontokennwort erhält, hat er Zugriff auf Ihre gespeicherten Browserkennwörter.
- Schützen Sie sich vor Malware. Wenn Dienstprogramme problemlos auf Ihre gespeicherten Kennwörter zugreifen können, warum kann Malware dann nicht verwendet werden?
- Speichern Sie Ihre Passwörter in einem Passwortverwaltungssystem wie KeePass. Natürlich verlieren Sie den Komfort, dass der Browser Ihre Passwörter automatisch ausfüllt.
- Verwenden Sie ein Dienstprogramm eines Drittanbieters, das in Chrome integriert ist und ein Hauptkennwort zum Verwalten Ihrer Kennwörter verwendet.
- Verschlüsseln Sie Ihre gesamte Festplatte mit TrueCrypt. Dies ist völlig optional und für den Ultra-Schutz, aber wenn jemand Ihr Laufwerk nicht entschlüsseln kann, kann er sicherlich nichts davon abbekommen.
Das Endergebnis ist einfach, um Ihr System sicher zu halten, und Ihre Chrome-Passwörter sollten auch einigermaßen sicher sein.
