Im Web und unzähligen Blogs machen gerade Berichte über eine „Sicherheitslücke“ in Google Chrome die Runde, mit dem alle gespeicherten Passwörter im Klartext angezeigt werden können. Allerdings handelt es sich dabei um eine Standard-Funktion über die auch andere Browser verfügen und bereits seit vielen Jahren in Chrome integriert ist.
Um Formulare automatisch ausfüllen zu können speichert Chrome standardmäßig nicht nur Eingaben in Textfeldern sondern bewahrt auch die eingegebenen Passwörter auf Dauer in seinem Speicher auf. Diese Daten können dann nachher in den Einstellungen wieder aufgerufen werden – inklusive der Passwörter. Einen weiteren Schutz gibt es nicht, so dass die Passwörter mit 2 Klicks angezeigt werden können.
Unter der URL chrome://settings/passwords kann die Liste aller gespeicherten Passwörter einfach aufgerufen werden. Ein Klick auf den gewünschten Eintrag bringt den „Show“-Button zum Vorschein, der anschließend das Passwort im Klartext anzeigt. Auch ein markieren und kopieren dieses Passworts ist möglich und kann so leicht wieder verwendet werden.
Viele Blogs werfen Google nun einen unsicheren Umgang mit den Daten vor und schreien laut auf, dass alle Passwörter im Klartext gespeichert werden. Dazu wäre nun zu sagen, dass die Passwörter zwar im Klartext gespeichert, aber nicht ohne weiteres von einem Algorithmus ausgelesen werden können – der Angreifer muss also physischen Zugang zum PC haben. Vor jedem abspeichern eines Passworts holt sich der Chrome-Browser die Erlaubnis vom Nutzer – dieser weiß also sehr wohl bescheid dass diese Eingaben gespeichert worden sind.
Offiziell hat Google noch nicht reagiert, ein Entwickler aus dem Chrome-Team hat sich aber in einem kurzen Kommentar geäußert:
I appreciate how this appears to a novice, but we’ve literally spent years evaluating it and have quite a bit of data to inform our position. And while you’re certainly well intentioned, what you’re proposing is that that we make users less safe than they are today by providing them a false sense of security and encouraging dangerous behavior. That’s just not how we approach security on Chrome.
Google hat also derzeit keine Pläne, Änderungen an der Funktion vorzunehmen und hält an dieser fest. Auch die Einführung eines Master-Passworts zum Schutz aller anderen Passwörter ist derzeit keine Option und würde die Nutzer, so der Entwickler, nur in falscher Sicherheit wiegen.
Über die exakt gleiche Funktion verfügt auch der Firefox-Browser, der ebenfalls eine Liste aller gespeicherten Passwörter anzeigen kann: Zwar wird vor dem Anzeigen noch einmal nachgefragt ob man dies wirklich tun möchte – aber das hält einen potenziellen Passwort-Dieb wohl kaum von seiner Mission ab.
Und wenn tatsächlich eine nicht vertrauenswürdige Person an den eigenen PC / Laptop kommt – der dann noch dazu wohl nicht mit einem Passwort geschützt ist – muss man sich sowieso fragen ob der große Fehler nicht wieder einmal VOR als hinter dem Bildschirm gesucht werden muss 😉
[HuffPost]