Vor einiger Zeit haben wir darüber gesprochen, ob man seinem Browser erlauben sollte, sich Passwörter zu merken.
In diesem Artikel haben wir darauf hingewiesen, wie wichtig Verschlüsselung ist.
„Beieinem Passwort-Manager im Browser könnte jemand, der Zugriff auf Ihren Browser hat, Ihre Passwörter im Klartext einsehen, obwohl Windows so eingestellt werden Windows , dass es eineAuthentifizierungverlangt (die gleiche, die Sie beim Start Ihres Geräts verwenden).“
In der Regel speichern Passwortmanager in Browsern Passwörter verschlüsselt auf der Festplatte, verknüpft mit Ihrem Benutzerkonto und geschützt durch das Betriebssystem.
Vor kurzem hat ein Sicherheitsforscher jedoch alle gängigen Chromium-basierten Browser systematisch darauf getestet, wie sie mit Anmeldedaten im Arbeitsspeicher umgehen. Der Forscher stellte fest, dass Edge einziger Browser den gesamten Passwort-Speicher beim Start im Klartext in den Prozessspeicher lädt, wo er für die Dauer der Sitzung verbleibt.
Es wurde festgestellt, dass Chrome andere Chromium-basierte Browser Passwörter nur bei Bedarf (beim automatischen Ausfüllen oder bei der Option „Passwort anzeigen“) entschlüsseln, nicht jedoch den gesamten Tresor, und dass sie Mechanismen wie die an die App gebundene Verschlüsselung für Schlüssel verwenden. Edge diese Schutzmaßnahmen in diesem Zusammenhang nicht.
Der Forscher beschloss daher, einen Proof-of-Concept (PoC) zu erstellen, um zu zeigen, dass der Zugriff auf diesen Speicherbereich weder Zero-Day-Lücken noch komplexe Exploits erfordert. Er beruht vielmehr auf der relativ einfachen Möglichkeit, den Prozessspeicher auszulesen, wofür jedoch erweiterte Berechtigungen erforderlich sind.
Als der Forscher das Problem jedoch an Microsoft meldete, fiel die Reaktion eher verhalten aus. Die offizielle Stellungnahme des Unternehmens lautete, dass dieses Verhalten „beabsichtigt“ sei. Die Begründung dürfte sein, dass dieses Verhalten die Anmeldung und das automatische Ausfüllen beschleunigt und Angreifer ohnehin einen kompromittierten Rechner oder erweiterte Zugriffsrechte benötigen würden, um den Arbeitsspeicher auszulesen – was Microsoft im Rahmen dieser Designentscheidung als außerhalb des Geltungsbereichs liegend betrachtet.
Das trifft im Grunde genommen zu. Ein Angreifer benötigt bereits einen erheblichen Zugriff: zum Beispiel die Möglichkeit, Code auf dem Rechner auszuführen, sowie die Fähigkeit, den Prozessspeicher Edgeauszulesen, was oft erweiterte Berechtigungen erfordert. Es handelt sich hierbei nicht um eine aus der Ferne ausnutzbare, nicht authentifizierte Sicherheitslücke im Browser, aber die Konzeption erleichtert das Ausspähen von Anmeldedaten nach einer Kompromittierung. Und diese Fähigkeit besitzen viele Infostealer bereits.
Das ist nur eine weitere Möglichkeit, die ein Angreifer nutzen kann, sobald er sich Zugriff auf Ihren Computer verschafft hat. In Verbindung mit dieser wissenschaftlichen Studie aus dem Jahr 2024, die ergab, dass viele Passwortmanager unter bestimmten Umständen Passwörter im Klartext in den Arbeitsspeicher ausgeben, veranlasst uns dies, unseren Rat erneut zu bekräftigen.
Sollten Sie Ihrem Browser erlauben, sich Ihre Passwörter zu merken?
Der Passwort-Manager Ihres Browsers bietet Ihnen zwar Komfort, geht jedoch zu Lasten der Sicherheit. Natürlich sind auch Passwort-Manager nicht absolut sicher, daher ist es wichtig, dass Sie selbst entscheiden, wo Sie Ihre Passwörter speichern.
Wenn Sie sicher sind, dass die Website sicher ist und niemand, der über Ihr Konto darauf zugreifen kann, etwas Neues erfahren wird, können Sie das Passwort gerne in Ihrem Browser speichern – deaktivieren Sie jedoch die automatische Ausfüllfunktion, damit Sie die Kontrolle behalten.
Verwenden Sienach Möglichkeit die Multi-Faktor-Authentifizierung (MFA). Dies verringert das Risiko erheblich, falls jemand Ihr Passwort in die Hände bekommt. Und vermeiden Sie es, den Passwort-Manager Ihres Browsers zum Speichern Ihrer Kreditkartendaten oder anderer sensibler personenbezogener Daten, wie beispielsweise medizinischer Informationen, zu verwenden.
Wir möchten jedoch hinzufügen, dass Edge unter den gängigen Browsern die schlechteste Wahl zu sein Edge , wenn man sich dennoch für die Verwendung eines integrierten Passwort-Managers entscheidet.
Beugen Sie Bedrohungen vor, bevor sie Schaden anrichten können.
Malwarebytes Browser Guard Phishing-Seiten und bösartige Websites automatisch. Kostenlos und mit nur einem Klick zu installieren. Zu Ihrem Browser hinzufügen →
