In unserem Blogbeitrag „Sicher unterwegs mit Passwort-Manager?“ haben wir über die Verwendung eines Passwort-Managers als mögliche Lösung für die sichere Aufbewahrung von Passwörtern informiert. Nicht unberechtigt ist daher die Rückfrage, ob die Speicherung von Anmeldedaten bzw. Passwörtern im Browser nicht genauso gut wie die Nutzung eines Passwort-Managers ist. Die meisten Internetbrowser verfügen schließlich über eine solche Funktion.
Was kann denn schon passieren?
Speichert man bei einem Besuch einer Webseite die eigenen Anmeldedaten im Browser, so hat man die Möglichkeit beim nächsten Aufruf der Seite die Anmeldedaten automatisch auszufüllen und dann lediglich auf den Login-Button zu klicken. Das kann aber schnell gefährlich werden, sofern ein unbefugter Dritter darauf Zugriff erhält: sei es durch Diebstahl des (mobilen) Geräts, durch kurze Abwesenheit z. B. von einem Laptop, sodass unsere Benutzerdaten bzw. unsere Identität von jemand anderem benutzt werden kann. Nicht selten genügt in solchen Fällen bereits ein Blick in die Browsereinstellungen. Zwar werden die Passwörter derzeit in den Browsern grundsätzlich verschlüsselt gespeichert, solche Verschlüsselungen können aber teilweise sehr leicht entschlüsselt werden, und das nicht nur von professionellen Hackern.
Denkbar dabei ist natürlich auch das Einfangen von Viren im Internet – was nicht gerade unwahrscheinlich ist. So sind z. B. die Software für Passwortdiebstähle einige der wichtigsten Mittel eines Cyberkriminellen. Mit solcher Malware können anhand verschiedener Methoden sensible Daten direkt von den Webbrowsern gesammelt werden. Ein bekanntes Beispiel hierfür ist die weit verbreitete Malware „Redline Stealer“. Bereits mit Anfang der Corona-Pandemie, als zahlreiche Mitarbeiter Ihren Arbeitsplatz ins Homeoffice verlagerten, hat man die genannte Software u. a. in Phishing-Mails oder auch Werbeausspielung auf Internetseiten versteckt gefunden. Dadurch haben sich einige Mitarbeiter Viren auf den verwendeten Endgeräten eingefangen, sodass im schlimmsten Fall sogar gesamte Firmennetzwerke vollständig gehackt werden konnten.
Speichern im Browser mit Masterpasswort oder Zwei-Faktor-Authentifizierung?
Es gibt Meinungen, die das Anlegen eines Masterpassworts für die perfekte ergänzende Maßnahme bei der Speicherung von Passwörtern im Browser halten. Ein Masterpasswort ist dabei als ein „Mutter-Passwort“ zu verstehen, das man bei jeder neuer Sitzung einmalig eingeben muss. Bei Eingabe des Masterpassworts werden die bereits hinterlegte Login-Daten dem Nutzer zur Verfügung gestellt, ohne, dass man während der laufenden Sitzung erneut danach gefragt wird. Diese Möglichkeit ist in den Browsern teilweise vorhanden, muss aber in der Regel aktiv gesucht und eingestellt werden. Dadurch kann das Sicherheitsniveau gewiss etwas gesteigert werden, eine besonders hohe Sicherheit liegt dabei aber nicht vor. Zudem sollte man dabei darauf achten, dass die Anforderungen an ein sicheres Passwort stets eingehalten werden.
Eine Zwei-Faktor-Authentifizierung wird aktuell zunehmend von den online Diensten eingesetzt. Hierunter ist konkret eine Anmeldung zu verstehen, bei der der Benutzer nicht nur seinen Nutzernamen und sein Passwort, sondern noch eine zusätzliche Sicherheit (so in etwa wie ein zweiter Schlüssel/Chipkarte für die Wohnungstür) benötigt. Viele Dienste bzw. Dienstleister (u. a. Online-Banking, Cloud- oder Mail-Anbieter, Social Media Plattformen) verlangen mittlerweile von Ihren Nutzern die Einrichtung eines solchen Verfahrens, um damit einen möglichen Missbrauch der Benutzerdaten zu vermeiden. Das ist zu begrüßen, insbesondere bei sensiblen Daten, wie Zahlungsinformationen, Gerätezugängen oder Firmen-Accounts. Ein solches Verfahren führt dazu, dass ein Angriff auf mehreren Ebenen erfolgen muss, was wiederum eine Erhöhung des Aufwands für den Angreifer mit sich bringt. Wählt man innerhalb der Zwei-Faktor-Authentifizierung zusätzlich unterschiedliche Faktoren bzw. Geräte zur Authentifizierung (z. B. online einkaufen auf dem Laptop und Zahlungen/Freigabe der Zahlung auf einem anderen Gerät wie etwa dem Handy), so werden die Anreize eines Datendiebstahls in der Regel minimiert.
Fazit
Von der Speicherung von Passwörtern im Browser sollte abgesehen werden, da diese Vorgehensweise wie oben beschrieben ein hohes Risiko für die eigene Sicherheit darstellt. Sofern man zu diesem Schluss gekommen ist, dann soll man als Erstes die hinterlegten Passwörter löschen und ggf. auch die Funktion zur Speicherung von Passwörtern für die Zukunft deaktivieren oder zumindest die oben genannten zusätzliche Sicherheitsmaßnahmen (Masterpasswort/Zwei-Faktor-Authentifizierung) entsprechend verwenden (so die BSI-Empfehlung). Nach Ansicht des Bundesamts für die Sicherheit in der Informationstechnik (BSI) sind zudem auch im Browser integrierte Passwort-Manager mit Risiken verbunden, sodass bestenfalls auch davon abgesehen werden sollte.
Blendet man die gewichtigen Risiken der Speicherung von Passwörtern im Browser aus und entscheidet man sich doch für die Speicherung im Browser, dann ist zumindest eine regelmäßige Durchführung von Updates notwendig. Die Browser weisen genauso wie andere Software-Systeme Sicherheitslücken auf, die von Hackern entsprechend ausgenutzt werden können. Ein sehr gutes Antivirenprogramm ist dabei gewiss auch nicht zu unterschätzen.
17. November 2022 @ 13:11
Ohne das Problem kleinreden zu wollen: wenn der Rechner kompromittiert ist hat man eh verloren, weil dann auch die Session übernommen werden kann (Hijacking). Natürlich muss der Benutzer dafür einmal angemeldet sein, und bei Abmeldung würde die Session zerstört, aber die meisten Plattformen erlauben dem Benutzer aus Komfortgründen angemeldet zu bleiben (persistentes Cookie) und begrenzen die Session auch nicht z. B. anhand der IP-Adresse. In dem Fall hilft dann auch 2FA nicht mehr.
Also um die Empfehlung abzurunden müsste man etwaige „angemeldet bleiben“ Funktionen auch verbieten und am besten per Policy erzwingen, dass Browserdaten beim Beenden gelöscht werden.
Verwenden die Leute dann automatisch KeePass? Eher nicht. Dann landet das Kennwort zwecks Copy & Paste in irgendeiner Textdatei/Notiz auf dem Rechner, weil vernünftige Kennwörter für Post-its (das wäre noch das kleinere Übel) und Eintippen zu komplex sind.
Das muss man also auch noch organisatorisch durchsetzen – und auch kontrollieren und sanktionieren.
PS: 2FA oder MFA kann natürlich prinzipiell auch gegen Session Hijacking schützen, wenn die Session unabhängig von anderen Faktoren ist. Mir fällt aber gerade keine Plattform ein, die das umsetzt. Im Zweifelsfall wird immer zugunsten des Komforts entschieden.
PPS: ist der Rechner kompromittiert, kann ein Angreifer auch auf die E-Mails zugreifen und darüber z. B. „Kennwort vergessen“ Funktionen nutzen oder neue Geräte bestätigen (z. B. bei PayPal oder TeamViewer).
16. November 2022 @ 18:22
Irgendwo müssen die Passwörter ja hin ;-).
Es ist aus meiner Sicht besser, komplexe und unterschiedliche Passwörter im Passwort-Manager zu haben als ein einfaches im Kopf.
Der zweite Faktor sollte nach und nach bei allen Zugängen als Mittel der Wahl umgesetzt werden, aber auch da steckt der Teufel im Detail. Habe ich z.b. eine entsprechende APP auf dem Handy und das Handy geht kaputt oder ich vergessen das neue Handy entsprechend einzurichten, habe ich ein Problem. Das trifft auch bei einer Chipkarte oder zb. Yubikey zu. Aus dem Grund würde ich auf einen Passwort-Manager setzen der auch den zweiten Faktor abdeckt bei den gespeicherten Accounts und der so abgesichert ist, das ein zweiter Faktor zum öffnen der APP ausfallen kann. ( Konkret abgesichert mit 2 Optionen für den zweiten Faktor)