[English]Noch eine kurze Information von dieser Woche, die Nutzer des Google Chrome-Browsers betrifft. Google hat bekannt gegeben, dass eine neue Funktion "Safety Check" im Chrome ausgerollt wird. Diese Sicherheitsfunktion läuft bei Desktop-Systemen automatisch im Hintergrund mit. Nutzer sollen gewarnt werden, wenn Sicherheitsbedrohungen wie im Browser gespeicherte aber kompromittierte Kennwörter oder schädliche Erweiterungen erkannt werden.
Anzeige
Google hat dazu den Blog-Beitrag New performance and safety features are coming to Chrome mit Details veröffentlicht. Über die Funktion Safety Check in der Desktop-Version des Chrome-Browsers soll die Sicherheit verbessert werden. Die Funktion wird bei Desktop-Systemen automatisch im Hintergrund ausgeführt. Nutzer werden proaktiv gewarnt,
- wenn in Chrome gespeicherte Kennwörter kompromittiert wurden,
- wenn eine der Erweiterungen potenziell schädlich ist,
- wenn Nutzer nicht die neueste Version von Chrome verwenden
- oder wenn Website-Berechtigungen die Aufmerksamkeit des Nutzers erfordern.
Diese Warnungen werden im Drei-Punkte-Menü in Chrome angezeigt, damit Nutzer die erforderlichen Maßnahmen ergreifen können.
Chrome Safety Check; Zum Vergrößern klicken
Google hat außerdem die Sicherheitsüberprüfung erweitert, um Websites die Berechtigung zu entziehen, um z. B. auf den Standort oder das Mikrofon zuzugreifen, wenn Nutzer diese Option schon lange nicht mehr benutzt haben. Außerdem zeigt die Sicherheitsüberprüfung jetzt an, wenn Nutzer viele Benachrichtigungen von Websites erhalten, die sie selten besuchen. Das ermöglicht, diese Benachrichtigungsfreigabe einfach zu deaktivieren.
Anzeige
Im Blog-Beitrag geht Google auf weitere Neuerungen wie die verbesserte Leistungssteuerung über den Speichersparmodus, oder die Tab-Gruppen als eine nützliche Methode, um Tabs in Chrome zu ordnen und zu organisieren, ein. (via)
Nur ein Gedanke: Das könnte auch der Grund sein, warum der Browser weiter im Hintergrund läuft, auch wenn er beendet wurde. Das Thema kam im Zusammenhang mit dem Edge-Browser, der ja ein Chromium-Clone ist, in diesem Blog-Beitrag auf.
Anzeige
"Das könnte auch der Grund sein, warum der Browser weiter im Hintergrund läuft, auch wenn er beendet wurde. Das Thema kam im Zusammenhang mit dem Edge-Browser"
Kann man das beim Edge nicht sogar Abschalten?
Einstellungen – System und Leistung – Startup Boost
Also noch eine Schnüffelfunktion von Google. Das Sicherheitsdeckmäntelchen kommt ja überall drüber wo geschnüffelt wird. Und wer die Passwörter im Browser speichert hat da auch schon verloren.
Bin interessierter Mitleser, und Frage mich wo denn die inzwischen hunderte von Passwörtern sonst speichern werden sollen, was wird empfohlen?
Brain.exe
Vorteile:
1. Extrem sicher, da der Speicherort nicht hackbar ist
2. Überall verfügbar, auch an fremden Geräten und unabhängig vom Browser und Betriebssystem
Nachteil: man braucht ein gutes Gedächtnis.
Als Zwischenlösung gibt es auch Passwortmanager.
Da braucht man sich dann nur das Passwort des Passwortmanagers zu merken.
Brain.exe kann auch noch viel mehr:
Phishingschutz, Ransomwareschutz, Virenschutz, etc. etc.
Nur leider ist es bei vielen Menschen falsch konfiguriert, so das dann seine Schutzmaßnahmen nicht greifen.
extrem sicher? Naja wenn du damit aus der Ferne hackbar meinst, hst du recht. ;-P
Brain 2.0.exe hat aber einen entscheidenden Nachteil sie ist nicht patchbar. Entweder man hat sie oder eben nicht.
Brain 2.0 ist schon nen guter Ansatz:
Ich nutze das so:
Ich habe ein PW zusammengesetzt aus:
MasterPW+ Dienstanhang + Mit meinem Algo verschlüsselten Dienstanhang
Somit für jeden Dienst nen eigenes und ausreichend langes PW, merken muss ich mir aber nur MasterPW + Algo.
Das krieg ich selbst besoffen und bekifft im Tiefschlaf noch hin ;-P
Und solte ich dann verscheiden liegt dieses MasterPW+Algo in nem kleinen Büchlein mit Anweisungen im Safe, das die Hinterbliebenen meines Vertrauens da auch dran kommen.
Nützt halt auch nix, wenn die Dienste sich dann die Daten stehlen lassen (Siehe mein Beitrag unten), aber so ist eben auch immer nur ein PW verbrannt.
PW Safe auf dem Rechner? Tja da ist dann alles futsch! machen nur I*****.
"PW Safe auf dem Rechner? Tja da ist dann alles futsch! machen nur I*****."
Nur welche, die keine regelmäßige Datensicherung machen.
Und die regelmäßige Datensicherung wird im Privatbereich leider meist vernachlässigt bzw. gar nicht gemacht.
Da sage ich nur:
Wer wichtige Daten hat, hat eine Datensicherung.
Wer keine Datensicherung hat, hat keine wichtigen Daten.
master Passwort verloren, trivialen Algo .. zack Allws verloren.
das ist definitiv nicht zu empfohlen.
Passwort-Manager mit Daten Onprem. alles andere ist nicht seriös zu empfehlen
vorab, Credentials im Browser zu speichern finde ich nach wie vor fragwürdig und würde ich nie machen (egal ob Brave, Chrome, Edge oder sonstwas). Aber wer das will, der soll halt…
jedenfalls wird das von vielen genutzt. Und jetzt wird Google also diese Credentials überprüfen – nimmt also nun offiziell Zugriff darauf? hmmm… ich weiss ja nicht, aber sollte da nicht bei allen die Alarmglocken läuten?
Es soll ja auch Leute geben, die bereitwillig ihre W-LAN Kennwörter des heimischen Netzwerkes bereitwillig bei Google speichern, damit damit verbundene Endgeräte "schneller verbunden" werden können.
Da braucht man sich über gespeicherte Kennwörter gar keine Gedanken mehr machen, das ist ein Universal-Schlüssel ins Paradies.
Zum Topic: Mit den Hintergrundscans gehe ich nicht konform, da deren "A.I." hierfür einfach nichts taugt.
Ein Beispiel, um Google zu provozieren: Du setzt daheim eine Internetpräsenz auf ((Next)|(Own)cloud, Jellyfin etc.) auf. Sie gilt nur für Dich, soll aber öffentlich erreichbar sein. Natürlich hast Du eine Kennwortabfrage integriert.
Google stuft solche Seiten generell als "potentiell schädlich" in Verbindung mit "Phishing" ein. Und warum? Weil die Seiten ein einheitliches Grundgerüst haben und dieses von verschiedenen Anschlüssen – leicht angepaßt – bereitgestellt werden.
Googles "A.I." schlußfolgert da dümmlich draus, es seien Phishing-Seiten. Daraus stricken sie dann ganz dolle "Phishing-Angriffe nehmen zu" in ihren Studien.
Man kann seine Seite – nach Meldung – rausnehmen lassen, taucht aber innerhalb weniger Wochen wieder darin auf.
Ist ein Klassiker auf Github und Reddit von genervten Nutzern. :-)
Paßwort-"Hashes" überprüfen zu lassen, ob einer möglichen Kompromittierung, ist ebenso völlig sinnbefreit. Abseits der theoretischen Möglichkeit auch Hashes rück zu konvertieren, führen GERADE solche Abfragen zu ungeahnten Sicherheitsrisiken (speichert der Antwortserver die Anfragen? Wird ein Resultat ausgegeben/gespeichert? Wer sichert die UNANGREIFBARKEIT dieser Plattform?).
Wechselt Kennwörter regelmäßig und speichert sie nicht im Browser. Dann muß man auch nicht gegenprüfen…
Ja, sehe ich auch so.
In der Firma ist deshalb das Speichern von Passwörtern im Browser per GPO deaktiviert.
Die entsprechenden Gruppenrichtlinenvorlagen kann man sich bei den Browserherstellern (Microsoft, Google, Firefox, etc.) herunterladen.
Also wenn bei Google nicht alle stark vertrottelt sind wird das eine Liste von Hashes von kompromittierten Passwoertern sein, die der Browser herunterlaedt bzw. aktualisiert, und wo dann halt ab und an die in Chrome gespeicherten Passwoerter ebenso gehasht werden und der Browser dann prueft, ob einer dieser Hashes in der Liste auftaucht, um in dem Fall den Benutzer warnen.
Wenn das alles lokal auf dem Rechner des Benutzers passiert und nur Daten von Google zu Chrome wandern, ist das voellig unbedenklich. Wenn nicht – dann ist Google auch nicht mehr zu helfen…
Man kann alles treiben oder übertreiben.
Auch für Passwörter gilt: Dem Threatlevel angepasst verwalten. Forenlogins etc. können problemlos im Browser gespeichert werden, Logins zu Onlineshops oder gar der Bank natürlich nicht.
kompromittierte Passworte:
ich weiß nicht wie Google es macht, andere (hibp, specops) senden sie ersten 5 stellen des Hashes , laden alle Treffer und vergleichen/suchen lokal den Rest des Hashes im Ergebnis der geladenen ersten 5 stellen.
das ist u.a. neben dem Datenschutz Thema eine Performance Notwendigkeit.
Leute, macht euch doch nicht verrückt. Ganz dumm sind die Entwickler bei Google auch nicht. Ich zitiere einmal aus dem englischen:
"Chrome sendet zunächst einen verschlüsselten 3-Byte-Hash Ihres Nutzernamens an Google, wo er mit der Google-Liste der gefährdeten Nutzernamen verglichen wird. Bei einer Übereinstimmung wird an Ihren lokalen Computer eine Datenbank mit allen potenziell übereinstimmenden Benutzernamen und Passwörtern aus der Liste der gefährdeten Anmeldeinformationen gesendet, die mit einem Schlüssel von Google verschlüsselt sind. Sie erhalten dann eine Kopie Ihrer Passwörter, die mit zwei Schlüsseln verschlüsselt sind. Der eine ist Ihr üblicher privater Schlüssel, der andere ist derselbe Schlüssel, der für die Liste der schlechten Anmeldeinformationen von Google verwendet wird. Auf Ihrem lokalen Computer entfernt Password Checkup den einzigen Schlüssel, den es entschlüsseln kann, nämlich Ihren privaten Schlüssel, und hinterlässt Ihren mit dem Google-Schlüssel verschlüsselten Benutzernamen und Ihr Passwort, die mit der mit dem Google-Schlüssel verschlüsselten Datenbank der schlechten Anmeldeinformationen verglichen werden können. Google sagt, dass diese Technik, die als "private set intersection" bezeichnet wird, bedeutet, dass Sie die Liste der schlechten Anmeldeinformationen von Google nicht sehen können und Google Ihre Anmeldeinformationen nicht erfährt, aber die beiden können auf Übereinstimmungen verglichen werden."
Siehe auch:
https://www.wired.com/story/chrome-79-password-check/#:~:text=Chrome%20first%20sends%20an%20encrypted,with%20a%20key%20from%20Google
Naja so wie haveibepawned? Sorry da steh ich auch drin… wie in Zig Dutzend PW Sammlungen im Darknet. Tja aber eben nur mit Total veralteten (und unwichtigen) Daten.
Ist halt so sind Daten mal geleakt kriegst sie nicht mehr weg.
Also was soll google mir da dann bringen? Die Alten Daten kenn ich seit über 30 Jahren… sollen sich die Hacker doch mit schwarzärgern.
Schuld daran? Shice Firmen die ihre Systeme nicht im Griff hatten *hust* Sony; *hust* Adobe; *hust* LastFM … nur Wayne?
> "der Browser weiter im Hintergrund läuft"
Danke, Weiterlesen nicht mehr nötig, es geht ganz sicher nur um die Sicherheit des Benutzers und um sonst nichts, gar nichts.