Wer unter Linux den Google Chrome-Browser einsetzt, sollte sich über eines im Klaren sein. Dort verwendete Passwörter liegen eventuell im Klartext vor. Hier einige Informationen, die mit Blog-Leser Malte als Gastbeitrag zur Verfügung gestellt hat.
Anzeige
Die allgemeine Vorstellung ist ja: Mit Linux ist vieles besser. Das trifft aber nicht immer zu, denn die Software-Entwickler können patzen. Malte schreibt, dass Google es Hackern und Dieben auf Rechnern mit Linux viel zu einfach mache. Denn unter bestimmten Umständen werden die Passwörter des Google Chrome-/Chromium-Browsers im Klartext gespeichert. Dann kann Malware diese Passwörter ganz einfach auslesen, kopieren und weiterverwenden.
Google Chrome: Die Situation unter Windows
Chrome scheint auf den ersten Blick unter Windows sicherer zu sein. Standardmäßig verschlüsselt Chrome Passwörter auf Windows-Maschinen mit der Windows API-Funktion CryptProtectedData. Dabei verwendet die API-Funktion die Benutzeranmeldeinformationen (Benutzername und Passwort) des lokalen Benutzers und des lokalen Computers selbst. Selbst wenn ein Angreifer über die Benutzer-Anmeldeinformationen verfügt, können die Passwörter nur dann entschlüsselt werden, wenn sich der Angreifer auf dem lokalen Computer befindet.
Google Chrome: Die Situation unter Linux
Google Chrome verschlüsselt Passwörter unter Linux nur, wenn eine Verschlüsselungsmethode gefunden wird, mit der der Browser arbeiten kann. Chrome-Passwörter auf Linux-Maschinen, die mit Gnome-Keyring oder KWallet installiert wurden, sind verschlüsselt. In anderen Fällen – in der Regel, wenn Leute eine benutzerdefinierte Linux-Installation z.B. Arch Linux mit erweiterten Einstellungen durchführen, ist möglicherweise kein gültiger Verschlüsselungsmechanismus verfügbar. In diesem Fall werden die Passwörter im Klartext gespeichert. Jeder, der Zugriff auf die Dateien oder den Computer hat, kann die Passwörter einsehen, ohne das Computer/Benutzer Passwort kennen zu müssen.
Die Verwendung der oben erwähnten Kwallet und Gnome-Keyring bieten auch keine vollständige Sicherheit. Denn auch diese Passwort-Mananger sind für lokale Angreifer hackbar. Man kann mit einem einfachen Kommandozeilenbefehl alle Passwörter die im Klartext sind, ganz einfach auslesen, wie folgender Tweet zeigt
Anzeige
By the way, you can easily extract the chrome passwords.
sqlite3 -header -csv -separator "," ~/.config/chromium/Default/Login\ Data "SELECT * FROM logins" > ~/Passwords.csv
So, the chrome password manager is definitely not safe.— ZeroDot1:) (@hobbygrafix) 6. Februar 2019
Der im Tweet beschriebene Befehl ließe sich auch ändern, um z.B die Passwörter aller Benutzerprofile, die im Chrome-Nutzerverzeichnis sind, zu kopieren. Und das ist ein Problem. Google sollte direkt im Browser eine Möglichkeit implementieren, alle Passwörter per Standard mit mindestens 1024 besser 2048 Bit zu verschlüsseln.
Maltes Tipps für mehr "Sicherheit":
1: Ich empfehle Jedem, Internet-Cafes nicht für den Versand von Mails zu nutzen. Falls das doch mal gemacht wurde, sollten die Passwörter die dort verwendet wurden umgehend geändert werden.
2: Weiterhin empfehle ich keine Passwort-Manager zu verwenden, sondern alle Passwörter im Kopf zu merken.
3: Verwendet für jeden einzelnen Dienst, den ihr verwendet, unterschiedliche Mail/Benutzername-Passwort-Kombinationen.
4: Nutzt Passwörter mit mindesten 10 Zeichen, und ändert die Passwörter in unregelmäßigen Abständen.
5: Gebt niemals eure Passwörter irgendwo ein, wenn ihr sie nicht gerade aktiv verwenden müsst.
6: Prüft nur Passwörter bei Passwort-Testseiten und ähnlichen Dingen, die ihr nicht mehr verwendet, um ganz sicher zu gehen, dass eure Daten nicht gehackt werden können.
7: Führt regelmäßig Software-Updates durch und verwendet einen guten Virenschutz.
8: Solltet ihr einmal euren Computer unbeaufsichtigt in der Öffentlichkeit lassen, prüft vor der weiteren Verwendung ob es Manipulationen gab (soweit das möglich ist).
9: Nichts ist "sicher", irgendwer findet immer einen Weg, um irgendetwas zu hacken, das gilt im besonderen für Passwörter.
10: Eure Passwörter sind nur dann "sicher", wenn der Dienst, den ihr verwendet, auch sicher ist.
Anmerkung GB: Die Empfehlungen sollte man mit Sinn und Verstand einsortieren. Ein 10 Zeichen Passwort in unregelmäßigen Abständen zu ändern und davon 30 oder mehr Kombinationen im Kopf zu behalten, halte ich für nicht machbar. Künftig wird der Weg zu alternativen Authentifizierungsverfahren wie USB-Sticks a la Yubico gehen müssen.
Was kann man nun machen?
Google Chrome und Chromium löschen und nicht mehr verwenden bis das Problem gelöst ist. Oder alternativ KWallet installieren, vergesst aber nicht die Datei die eure Klartext Passwörter enthält zu löschen. Alternativ einen anderen Browser verwenden der nicht auf Chromium basiert.
Anzeige
zu den "tipps", v.a. no. 2:
selbst 4 Passwörter mit mind. 10 Zeichen sich zu merken ist mehr oder weniger weltfremd und realtitätsfern. Wer sollte das leisten (können), die meisten sind froh, wenn sie sich die kto-pin merken. Und die hat weniger als 10!
Sowas ist kein Tip, sondern lediglich Blödsinn.
Wenn man einem passwortmanager nicht traut, nimmt man halt die analoge Methode – und sichert den Zettel gegen etwaige Beobachtung.
Ich kann mir das problemlos merken, aber da scheine ich eine Ausnahme zu sein.
Malte: Du bist eine Ausnahme (meine ich nicht sarkastisch), da Du wohl auf Grund deiner persönlichen Situation die Merkfähigkeit seit vielen Jahren trainiert hast. Das ist aber nicht bei allen Menschen so – auch wenn ich mir einiges merken kann – wie oft stehe ich dann vor einer Online-Anmeldung und frage mich 'welche Variante hast Du denn genutzt'. Zumal Du noch vorgibst, die Kennwörter in unregelmäßigen Abständen zu ändern (wird inzwischen als kontraproduktiv gesehen). Aber ich denke, diese Thematik sollten wir hier diskussionsmäßig nicht vertiefen – der Kern des Artikels war ja, dass Chrome unter Linux nur verschlüsselt, wenn eine entsprechende Funktion gefunden wird.
Zu dem Thema gibt es auch interessante Bücher aus der Gedächtnisforschung, wo man ungefähr sagen kann, dass besondere Leistungen immer mit einem Preis verbunden sind. Ein schönes Thema, das aber noch nicht weit verbreitet ist in der Öffentlichkeit, wo sich noch Vorstellungen halten vom "fotografischen (eher: abbildenden) Gedächtnis".
Wir hatten das Thema hier des öfteren schon mal.
# Zu Nr. 3 sollte es für jeden eigentlich verständlich sein, dass für jeden Dienst etc man neue Passwörter verwendet.
# Das zu Nr 4 geht teilweise gar nicht. Die Anzahl von Zeichen werden meistens vorgegeben. So sind bei Banken 5 Zeichen vorgesehen. So zumindestens die ich kenne.
Interessant ist, dass Internetportal die nichts "sensibles" darstellen, trotzdem Login wollen, dann mindestens 8 Zeichen und davon mindestens je 1 Variante von gesamten Tastaturpalette wollen. Andere dagegen, die wirklich für einen wichtig sind, wie Banken etc, nicht, ELSTER auch nicht. Beim Personalausweis – keine Ahnung, da ich das nicht nutze.
Ansonsten eine gute Zusammenstellung von Malte, die man immer wieder sich verinnerlichen muss. Denn es wird ja alles per Internet ausgelagert und so viel schlimmer.
Was ist eigentlich mit Zugangsdaten von E-mail-accounts? Ich denke das zu ändern kann zu großen Schwierigkeiten führen, weil man dann konsequent alles ändern muss (Internetzugang, E-Mailprogramme auf allen PCs …).
Die entscheidende Frage ist doch, ob die Internetbetreiber ihre Daten dann auch ausreichend schützen. Der Diebstahl passiert doch in der Regel nicht so, das ein Böser mir über die Schulter schaut, sondern die hacken eben mal die Portale der Betreiber (Yahoo war mehrfach dran, Fluggesellschaften etc. .., Adobe war auch mal dran, T-Mobil oder T-Online u.v.a.m.).
Da nutzen die Verhaltsregeln Nr. 1 bis 10 gar nichts. Das ist so wie – die Wohnungstür ist 3x gesichert und das Kellerfenster an der Rückseite des Hauses am Wald ist offen.
Grüße
Ich speichere keine Passwörter im Browser. Ich benutze KeePass2 unter Linux. Wie siehts denn damit aus ?
Ich bin erstmals durch diesem Artikel https://www.zeit.de/digital/internet/2015-02/yubikey-token-passwoerter-keepass-test auf den Yubikey aufmerksam geworden und habe mir kurz danach so ein Ding gekauft.
Die Passwörter meiner 256 Onlinekonten sind 16 stellig, bis auf das Online Banking Passwort meiner Bank was nur 6 Stellig und aus Zahlen besteht eigentlich ein Witz.
Seit dieser zeit fühle ich mich Relativ sicher damit.
Einziges kleines Manko ist natürlich die Übertragung des Passworts vom Rechner übers Internet zu meinem Anbieter bei dem ich mich Authentifizieren möchte, da muss ich mich ganz auf die Verschlüsselung meines Browsers verlassen können.
Google Chrome nutze ich sowieso nur in Ausnahme fällen und auch nur in ganz bestimmten fällen egal ob ich unter Linux oder Windows Arbeite, Surfe oder Spiele.
Ich habe ungefähr 16 Passwörter im Kopf die ich aber nie ändere und nirgends Abspeichere außer in meinem Kopf und meinem Passwort Buch.
Denn Bleistift und Papier sind ein gutes Backup für den Kopf.
heute früh erstmalig hier vom yubikey gelesen. Kurz und oberflächlich nachgelesen:
Wer den yubikey stick hat, hat dann meine Passwörter zur freien, direkten Verfügung?
Die alte Maxime:
Gegen Diebstahl schützt nur wo ich drauf sitze, und nur "ich" die Finger drauf habe, und das dann verteidigen kann.
Cloud: No chance – Server wird geknackt
Password Manager: No chance – wer knackt die Soft?
Mein Gedächtnis: No chance, Bj. 1955 mit ersten kognitiven Defiziten
Papier und Bleistift: 100%, wenn mich mein Gedächtnis nicht im Stich läßt, wo der Zettel versteckt ist ;-)
Ja selbstverständlich schützt auch der Yubikey nicht mehr, bei einem unsicheren gehackten Server das liegt dann aber nicht mehr in meiner Verantwortung, nur habe ich in meinem Fall dann alles Richtig gemacht
https://www.yubico.com/2018/11/passwordless-login-with-the-yubikey-5-comes-to-microsoft-accounts/
Mein 'Tipp für Gedächnistrainig: Morgens ein Buch lesen und Abends versuchen sich im Kopf den Inhalt vor zu stellen und den Text vor dem geistigen Auge zu lesen.
Funktioniert bei mir so gut das ich den Text eines Buches ohne Probleme auch noch am nächsten Tag wiedergeben kann, Mit Passwörtern und Co kann man das gleiche machen.
Aber ich finde es echt unverfroren von Google das die es seit Jahren nicht schaffen "Sicherheit" für Passwörter zu implementieren, die haben doch alle passenden Devs da, los Google macht mal wir brauchen mehr Sicherheit für unsere Daten!
Toll @ Malte. ich bin kein richtiger Synästhetiker.
Ich habe jetzt noch einmal meine Liste durchgezählt in verschiedenen Internet-Anmeldedingern. Es sind grob mindestens 130 und diese sind nie gleich.
Zum Buch lesen – Nun schön, dass Du morgens Zeit findest ein Buch zu lesen. Du musst sehr glücklich sein. Das sagt Dir jemand, der sich mit Büchern etwas auskennt.
Wenn ich ein Buch lese, so lese ich es nicht mit der Intention es für Passwörter oder Benutzernamen zu verwenden.
Also Du liest morgens ein Buch. Was machst Du dann damit, mit dem gewonnenen Wissen. Vielleicht ist ein Telefonbuch oder ein Wörterbuch. Man weiß es nicht. Diese sinnfernen Tipps tauchen immer wieder auf und völlig fern jeder Realität – eben sinnfern!
Zu Google und Consorten: Egal wie die Dinger heißen – ich habe noch NIE ein Passwort in den sog. Browsern abspeichern lassen.
Das mit der Sicherheit etc ist alles Schnulli. Ich habe oben was dazu geschrieben. Ich denke, dass Du Deine Nutzerkennung und Dein Passwort für Dein E-Mailzugang nicht spontan kennst. Ebenso für Dein Router. Oder?
Ich muss dich sehr schwer enttäuschen, ich kenne meine Zugangsdaten auch die für den Plasterouter :D.
Na gut das mit dem Buch ist eher nur ein Beispiel, alternativ gehen auch die Blogbeiträge aus Borns IT und Windows Blog :) diese sind sehr oft sehr informativ und Nützlich.
Will sagen es muss nicht ein ganzes Buch sein , es reichen auch schon 10 Seiten.
Ich bin mehr so ein Visueller Typ, ich lese zwar auch vielerlei Blogs und Texte aber was mich nicht so brennen Interessiert habe ich bis zum Abend wieder vergessen, aber ich kann mir Morgens 30 Bilder ansehen und die dir 16 Stunden Später aus 90 Bildern herausfischen.
Ich lerne gut, wenn ich Nummern, Passwörter, etc. immer wieder verwende. Ob aufschreiben, eintippen, usw.
Das Zuordnen, wo welches zu was gehört fällt mir dann nicht wirklich schwer.
Je länger ich etwas nicht nutze, desto wahrscheinlicher ist es natürlich, dass es irgendwann verloren geht, aber da müssten schon Monate und Jahre vergehen. So geht es mir auch mit dem Klavier spielen, wenn ich es auswendig mache. Könnte also auch ein bisschen mit dem Muskelgedächtnis zu tun haben.
Jedenfalls erinnere ich mich bis heute noch an die Festnetznummer einer Person, obwohl sie dort ausgezogen ist und ich die Nummer seit über 10 Jahren nicht mehr angewählt habe. Davor habe ich sie natürlich über Jahre angewählt, ohne sie fest eingespeichert zu haben, weil ich es da wohl noch nicht besser wusste, haha. Jedenfalls scheint es sich mir dadurch förmlich ins Gedächtnis eingebrannt zu haben. Vielleicht hat es auch damit zu tun, wie viel Wichtigkeit man der Sache beimessen kann?
Bei mir gibts nur ein wichtiges Passwort, das ist der PIN-Code des Kartenlesers fürs Online-Banking, der ist in meinem Kopf und sonst nirgends, wie auch die PINS von Kreditkarten etc.
Bei Webshops sind die Zugangsdaten im Browser gespeichert oder auf einem Zettel notiert. In Webshops benutze ich keine Kreditkarten, bevorzugt werden Händler die auf Rechnung verschicken, wenn das nicht geht dann mit Vorauszahlung.
Meine Handschrift ist "arztwürdig", es kam schon vor dass ich meine notierten Zugangsdaten nicht entziffern konnte …
"…2: Weiterhin empfehle ich keine Passwort-Manager zu verwenden, sondern alle Passwörter im Kopf zu merken…"
Aufschreiben.
Und Passwörter sicher nicht im Browser oder auf dem PC speichern.
Wer nutzt denn unter Linux Google Chrome?
Kenne da, persönlich, keinen.