{"id":214608,"date":"2019-02-07T00:34:00","date_gmt":"2019-02-06T23:34:00","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=214608"},"modified":"2019-02-06T20:50:42","modified_gmt":"2019-02-06T19:50:42","slug":"chrome-erweiterung-password-checkup","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/02\/07\/chrome-erweiterung-password-checkup\/","title":{"rendered":"Chrome-Erweiterung Password Checkup"},"content":{"rendered":"

Nachdem in den letzten Tagen gro\u00dfe Passwortsammlungen im Netz auftauchten (siehe Neue Passwort Collections mit 2,2 Milliarden Konten im Netz<\/a>), greift Google dies auf und bietet eine Erweiterung an, die geleakte Kennw\u00f6rter anzeigt.<\/p>\n

<\/p>\n

\"\"Im Google Security Blog k\u00fcndigte Google im Beitrag Protect your accounts from data breaches with Password Checkup<\/a> eine L\u00f6sung an. Google unterst\u00fctzt die Nutzer sich vor dem Hack von Online-Konten zu sch\u00fctzen. Dazu wird die neue Erweiterung Password Checkup Chrome bereitgestellt.<\/p>\n

Die Chrome-Erweiterung<\/h2>\n

Wenn sich ein Nutzer bei einer Website anmeldet, l\u00f6st die Passwort-Kontrolle eine Warnung aus, falls der von verwendete Benutzername und das Passwort in einer der \u00fcber 4 Milliarden Anmeldeinformationen enthalten ist, und Google wei\u00df, dass die Anmeldedaten unsicher sind.<\/p>\n

\"Warnungen\"<\/a>
\n(Quelle: Google)<\/p>\n

Die Erweiterung Password Checkup wurde in Zusammenarbeit mit Kryptographieexperten der Stanford University entwickelt. Dies soll sicherstellen, dass Google nie den Benutzernamen oder das Passwort erf\u00e4hrt und dass alle Daten, selbst bei Sicherheitsverst\u00f6\u00dfen vor einer gr\u00f6\u00dferen Verbreitung gesch\u00fctzt sind. Die technischen Details der Implementierung sind hier beschrieben<\/a>. Die Erweiterung wird zudem hier<\/a> beschrieben und l\u00e4sst sich hier<\/a> zur Installation ausw\u00e4hlen.<\/p>\n

Hat Google gepatzt?<\/h2>\n

Auch wenn Google die\u00a0Zusammenarbeit mit Kryptographieexperten der Stanford University hervorhebt, gibt es einen Punkt, der Stirnrunzeln verursacht. Wie ich hier<\/a> lese, hat sich Mike Kuketz die Details der Erweiterung angesehen<\/a>. Kuketz ist dabei aufgefallen, dass die Chrome-Erweiterung die Domain, an der sich der Benutzer anmelden m\u00f6chte, im Klartext an Google \u00fcbertr\u00e4gt.<\/p>\n

:method: POST\r\n:authority: us-central1-password-api-prod.cloudfunctions.net\r\n:scheme: https\r\n:path: \/logEvents\r\ncontent-length: 94\r\norigin: null\r\nuser-agent: Mozilla\/5.0 (X11; Linux x86_64) \r\nAppleWebKit\/537.36 (KHTML, like Gecko) \r\nChrome\/70.0.3538.67 Safari\/537.36\r\ncontent-type: application\/json\r\naccept: *\/*\r\naccept-encoding: gzip, deflate, br\r\naccept-language: en-US,en;q=0.9,und;q=0.8\r\n\r\n[[[null,\"login.web.de<\/strong>\",true,[31848.799999999814,\r\n637.9999999990687,36732.100000001024]]],[],[]]<\/pre>\n
Ich habe diesen Wert in obigem Beispiel hervorgehoben. Keine Ahnung, was Google damit bezweckt – aber sch\u00f6n ist das nicht. Sobald in der URL f\u00fcr das Login spezielle Informationen stecken, k\u00f6nnte der hinsichtlich Kennwort und Name anonyme Benutzer doch wieder enttarnt werden. Aber m\u00f6glicherweise habe ich was \u00fcbersehen.<\/p>\n","protected":false},"excerpt":{"rendered":"
Nachdem in den letzten Tagen gro\u00dfe Passwortsammlungen im Netz auftauchten (siehe Neue Passwort Collections mit 2,2 Milliarden Konten im Netz), greift Google dies auf und bietet eine Erweiterung an, die geleakte Kennw\u00f6rter anzeigt.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1356,426],"tags":[406,4328],"class_list":["post-214608","post","type-post","status-publish","format-standard","hentry","category-google-chrome-internet","category-sicherheit","tag-chrome","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/214608","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=214608"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/214608\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=214608"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=214608"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=214608"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}