Google Chrome OS: Passwörter lassen sich ohne Sicherheitsabfrage auslesen – aber nicht mehr lange

Veröffentlicht am von Jens
chrome 

Googles Chrome-Browser besitzt einen integrierten Passwort-Manager, der dank Synchronisation stets auf allen Geräten und Plattformen aktuell ist, sodass man im besten Falle keine Passwörter mehr eingeben muss. Alle gespeicherten Passwörter lassen sich natürlich auch direkt im Browser aufrufen und anzeigen – normalerweise allerdings erst nach vorheriger Autorisierung. Doch unter Chrome OS war das bisher nicht der Fall, aus einem ganz simplen Grund.


Google setzt längst nicht mehr auf einen simplen Passwort-Manager im Browser, sondern hat daraus schon vor langer Zeit eine ganze Plattform geschaffen, in der alle Passwörter aus dem gesamten Web gespeichert werden und abgerufen werden können. Diese lassen sich entweder unter passwords.google.com oder auch über den Chrome-Browser abrufen. In beiden Fällen gibt es aber eine Schranke, die der Nutzer überwinden muss, um an die Auflistung aller Passwörter zu kommen.

chrome logo

Unter der internen URL chrome://settings/passwords lassen sich im Chrome-Browser alle gespeicherten Zugangsdaten und Passwörter anzeigen. Allerdings sieht man dort lediglich die Webseite sowie den Benutzernamen, aber nicht das Passwort. Dieses wird vollständig zensiert dargestellt und muss erst mit einem zusätzlichen Button freigeschaltet werden. Nach einem Klick auf diesen Button muss einmalig das Passwort des Betriebssystem-Profils eingegeben werden, bevor es weitergeht.

Unter Chrome OS hingegen hat man freie Bahn und bekommt die Passwörter ohne weitere Nachfrage angezeigt. Wer also Zugang zu einem entsperrten Chromebook erhält, kann direkt alle Passwörter des Nutzers auslesen – eine große Sicherheitslücke. Der Grund dafür ist, dass es unter Chrome OS bisher keine API gibt, mit der eine solche Abfrage umgesetzt werden könnte.

On Windows, MacOS, Android and iOS we ask the user to enter their OS credentials before revealing the password. On ChromeOS there is no API to do that (AFAIK). This did not make it to the password manager team’s priority list because of the effort to introduce such a reauthentication mechanism.

Das soll sich nun aber bald ändern und so umgesetzt werden, wie bei den Lockscreen-Einstellungen. Warum nicht einfach noch einmal das Google-Passwort abgefragt wird, so wie im Web, bleibt wohl das Geheimnis der Entwickler.

Siehe auch
» Tipp: Windows-App ChromePass ermöglicht Auslesen & Export von Chrome-Passwörtern

[Chrome Story]


Teile diesen Artikel:

Facebook twitter Pocket Pocket