Google Chrome speichert Passwörter unverschlüsselt
Auf seiner Website erklärte der Software-Entwickler Elliott Kember, dass Google Chrome ein einfaches Textformat zur Sicherung von Passwords nutzt. Wie andere User am betroffenen Rechner an die Kennwörter gelangen, schrieb Kember gleich dazu: Einfach “chrome://settings/passwords” in die Browser-Adresszeile eingeben.
Zwar zeigt der Browser erst einmal die bekannte Liste von schwarzen Punkten statt Buchstaben und Zahlen an, doch das Wandeln in gewöhnliche Texte erfordert nur einen Mausklick. Das fand Kember heraus, weil es ein Feature “Import Passwords” gab, das ihn dazu führte, sich genauer anzusehen, was dabei eigentlich passiert.
Weil bei Chrome die zusätzliche Sicherung durch ein Masterpasswort (wie für Mozilla Firefox als Zusatz erhältlich) nicht vorgesehen ist, ist der Fehler umso gravierender. In einer Stellungnahme wehrt Justin Schuh, bei Google für Sicherheit mitverantwortlich, die Kritik ab: Man habe sich gegen den Umweg für ein Masterpasswort entschieden, weil dies nur zu trügerischem Sicherheitsgefühl führe und zu riskanter Internetnutzung ermutige.
Das letzte Chrome-Update ist noch gar nicht so lange her, doch dieser Angriffspunkt ist noch nicht erwähnt. Nur wenige Minuten genügen, um die Daten aus einem liegengebliebenen Notebook abzuschöpfen.