Wie man Passwörter sicher speichert

Wo sollten die Anmeldeinformationen gespeichert werden: Browser oder Passwort-Manager? Letzteres natürlich. Hier ist der Grund dafür.

Wenn Sie regelmäßig das Internet nutzen, haben Sie sicherlich schon bemerkt, wie praktisch es ist, wenn Ihr Browser Ihre Passwörter speichert. Das erspart Ihnen die mühsame Eingabe jedes Mal, wenn Sie sich anmelden müssen – eine echte Zeitersparnis! Aber ist das wirklich sicher? In diesem Artikel möchten wir uns genauer mit dieser Frage beschäftigen. Wir beleuchten drei wichtige Gründe, warum es vielleicht keine so gute Idee ist, Ihre Passwörter im Browser zu speichern, und stattdessen auf eine deutlich sicherere Methode umzusteigen: die Verwendung eines Passwort-Managers.

1. Passwort-Diebe

Das Problem bei der Speicherung von Passwörtern im Browser liegt in der Abwägung zwischen Benutzerfreundlichkeit und Sicherheit. Dies betrifft besonders die drei beliebtesten Browser: Google Chrome, Mozilla Firefox und Microsoft Edge. Leider speichern sie alle Passwörter auf eine wenig sichere Art und Weise.

Der Grund hierfür liegt darin, dass die Browser die Passwörter an einem vorhersehbaren Ort ablegen, in einem Verzeichnis, dessen Pfad für so gut wie jeden einsehbar ist. Auch wenn die Passwörter selbst verschlüsselt sind, wird der Entschlüsselungsschlüssel in der Nähe abgelegt und ist relativ leicht zugänglich. Das bedeutet, dass ein Angreifer mit diesem Schlüssel die Passwörter entschlüsseln und stehlen kann. Das ist vergleichbar mit einer sicheren Tür, bei der jedoch der Schlüssel leichtsinnig unter der Fußmatte versteckt ist und jeder davon weiß.

Ironischerweise nutzen die Browser diese Schwachstelle, um miteinander zu konkurrieren. Oftmals bieten sie die Möglichkeit an, alle gespeicherten Daten aus einem anderen Browser zu importieren, einschließlich der gespeicherten Passwörter, um den Wechsel für die Nutzer so bequem wie möglich zu gestalten.

Ja, es gibt definitiv Nutzer dieser Funktion, und leider sind nicht nur gutwillige Benutzer darunter. Tatsächlich gibt es eine ganze Bandbreite von schädlicher Software, die treffend als „Passwort-Diebe“ bezeichnet werden kann, und ihr Hauptziel ist es, Anmeldeinformationen zu stehlen. Diese Malware durchsucht gezielt die Ordner, in denen bekannt ist, dass Browser gespeicherte Passwörter abgelegt haben. Sie findet den metaphorischen Schlüssel unter der Fußmatte, entschlüsselt die Passwörter und lädt sie auf die Server von Cyberkriminellen hoch. Diese gestohlenen Passwörter werden in der Regel in Datenbanken gespeichert und dann in großen Mengen im Darknet an andere Kriminelle verkauft. Es ist leider gängige Praxis in der Welt der Cyberkriminalität, wo spezialisierte Tätigkeiten seit langem die Norm sind.

Um das Ausmaß dieses Problems besser zu verstehen, empfehlen wir Ihnen, ein Demo-Video anzusehen. Es zeigt anschaulich, wie Passwörter aus den Browsern Chrome, Firefox und Edge mithilfe eines Python-Skripts schnell extrahiert werden können. Dies verdeutlicht, wie einfach es für Angreifer ist, an in Browsern gespeicherte Passwörter zu gelangen.

Extrahieren von Passwörtern aus Google Chrome, Mozilla Firefox und Microsoft Edge

Demonstration zum Extrahieren von Passwörtern, die in Google Chrome, Mozilla Firefox und Microsoft Edge gespeichert sind.(Quelle)

 

2. Physischer Zugriff auf den Computer

Tatsächlich kann nicht nur speziell entwickelte Schadsoftware Schaden anrichten, sondern auch jeder, der physischen Zugriff auf Ihren Computer hat. Und dazu benötigt man keine ausgefeilten Hacking-Kenntnisse – Skripte zum Extrahieren von im Browser gespeicherten Passwörtern sind online leicht verfügbar. Man muss sie einfach ausführen.

Selbst neugierige Verwandte oder Kollegen könnten dies tun, wenn Sie Ihren Computer nicht gesperrt lassen. Oder denken Sie an einen Hacker, der im Rahmen einer Erkundungsmission Ihr Büro aufsucht – im Grunde genommen kann das jeder sein. Es ist wichtig zu verstehen, dass all Ihre im Browser gespeicherten Passwörter in potenziell feindliche Hände geraten können.

Und selbst wenn der Angreifer nicht über das passende Skript zum Extrahieren von Passwörtern aus dem im Browser gespeicherten Dateien verfügt, kann er die Liste der Websites durchsuchen, für die Passwörter gespeichert sind. Dann kann er sich bei einer dieser Websites anmelden, um Ihre Nachrichten zu lesen oder andere vertrauliche Informationen über Sie zu erlangen.

Interessanterweise verfügt der weltweit beliebteste Browser, Google Chrome (falls Sie das noch nicht wussten), nicht einmal über einen grundlegenden Mechanismus, um solche Aktionen zu verhindern. Und obwohl die Entwickler von Firefox den Benutzern die Möglichkeit eingeräumt haben, gespeicherte Passwörter durch die Verwendung eines primären Passworts zu schützen, ist diese Option standardmäßig deaktiviert. Das bedeutet, dass Benutzer explizit aktivieren und konfigurieren müssen, was viele Firefox-Nutzer möglicherweise nicht wissen.

3. Hijacking des Browser-Kontos

Ein weiteres Problem, das bei allen Browsern auftritt, die Benutzern die Möglichkeit bieten, Benutzerkonten zur Synchronisierung über verschiedene Geräte hinweg zu erstellen, betrifft die Synchronisierung von Lesezeichen, Browser-Sitzungen, Erweiterungen, Einstellungen und gespeicherten Passwörtern in der Cloud. Wenn ein Hacker Zugriff auf Ihr Browser-Konto erlangt, kann er sich einfach auf einem anderen Computer mit demselben Konto anmelden. Auf diese Weise erhält er Zugriff auf alle Konten, deren Passwörter im Browser gespeichert sind, angefangen bei sozialen Netzwerken bis hin zu Online-Banken. Dies stellt eine erhebliche Sicherheitsgefahr dar.

Warum ein Passwort-Manager besser ist als der Browser

Wie ein Browser, merkt sich Kaspersky Passwort-Manager Ihre Anmeldeinformationen und ermöglicht Ihnen, diese bei der Anmeldung auf Websites automatisch auszufüllen. Aber im Gegensatz zu Browser-Entwicklern gehen wir bei der Sicherheit keine Kompromisse ein. In unserem Passwort-Manager wird standardmäßig das primäre Passwort verwendet und kann nicht deaktiviert werden – alle Ihre gespeicherten Passwörter sind jederzeit geschützt. Selbst wenn jemand physischen Zugriff auf Ihren Computer erhält, kann sich diese Person nicht einfach mit den im Manager gespeicherten Anmeldeinformationen bei Websites anmelden. Dazu benötigen sie das primäre Passwort, das niemand außer Ihnen kennt (es sei denn, Sie haben es auf einem Klebezettel an Ihren Bildschirm geklebt).

Ein weiterer Vorteil von Kaspersky Passwort-Manager ist, dass alle Passwörter nur in verschlüsselter Form gespeichert werden. Und vor allem bewahren wir den Entschlüsselungsschlüssel nicht „unter einer Fußmatte“ auf. Der Chiffrierschlüssel wird im laufenden Betrieb mithilfe des AES-256-Algorithmus auf der Grundlage des primären Kennworts generiert, sodass wir ihn nicht speichern können. Überall. Immer. Selbst wenn es einem Dieb gelingt, in Ihren Computer einzudringen, kann dieser nichts stehlen – alle Ihre Passwörter sind sicher verschlüsselt. Übrigens, wenn Sie Kaspersky Passwort-Manager als Teil von Kaspersky Premium nutzen, lassen wir die Schadsoftware nicht einmal herein.

Eine letzte Sache noch. Natürlich verwenden wir die Cloud, um Passwörter zwischen Geräten zu synchronisieren – alle Ihre Passwörter sind mit Ihrem My Kaspersky Benutzerkonto verknüpft. Aber selbst wenn ein Angreifer auf irgendeine Weise Zugriff auf dieses Konto erlangen sollte, werden Ihre Passwörter im Kaspersky Passwort-Manager immer noch absolut sicher sein. Das liegt daran, dass sie in der Cloud ausschließlich verschlüsselt gespeichert werden und der Entschlüsselungsschlüssel auf der Grundlage des primären Kennworts generiert wird, das nur Sie kennen und ohne das Angreifer machtlos sind.

Außerdem haben wir Kaspersky Passwort-Manager kürzlich aktualisiert, um die Browser Opera und Opera GX zu unterstützen, die immer mehr neue Benutzer zugewinnen. Das bedeutet, dass wir jetzt alle gängigen Browser unterstützen: Chrome (und Chromium-basierte Browser), Safari, Firefox, Edge und Opera.

Tipps