Chrome bietet die Möglichkeit, Kennwörter automatisch einzugeben, ohne dass Sie als Benutzer eine andere Authentifizierung eingeben müssen, als am Computer angemeldet zu sein. Dies bedeutet, dass alle Informationen erforderlich sind, um auf die gespeicherten Kennwörter zuzugreifen, während sie in diesem Kontext ausgeführt werden.

Dies bedeutet, dass alle anderen Anwendungen, die in diesem Kontext ausgeführt werden (unter Ihrem Benutzerkonto), ebenfalls auf diese Informationen zugreifen können

Chrome kann nur den Schutz auf Betriebssystemebene verwenden, um zu verhindern, dass andere Benutzer Ihre Daten lesen. Unter Windows wird die Funktion CryptProtectData verwendet. Dadurch werden die Daten mit Ihren Windows-Benutzeranmeldeinformationen verschlüsselt - einschließlich Ihres Kennworts. Wenn Sie Ihr Passwort vergessen haben, sind die Daten nicht lesbar - selbst wenn ein Administrator sie zurücksetzt (obwohl sie mit Chrome-Passwörtern online gesichert werden und beim nächsten Anmelden mit Ihren Google-Anmeldeinformationen wiederhergestellt werden).

Was missverstehe ich in Bezug auf Sicherheit?

Es sollte davon ausgegangen werden, dass auf Ihrem System unter Ihrem eigenen Benutzer oder Administrator laufende Software Zugriff auf alles hat, was Sie tun. Wenn das Kennwort nicht aus dem Kennwortspeicher gelesen werden konnte, gibt es zahlreiche andere Möglichkeiten, es abzurufen. Von ungeschickt (Chrome starten, auf chrome: // settings / passwords zeigen und aus der Benutzeroberfläche lesen) bis zum Abrufen der Passwörter oder des Google API-Schlüssels aus dem Chrome-Speicher, während es ausgeführt wird oder ein gefälschtes Stammzertifikat injiziert wird und Mann in der Mitte eine Verbindung zu der Website, auf der das Passwort gesendet wird.

Es gibt einige Dinge, die Sie berücksichtigen müssen:

• Ein Passwort-Manager ist ein praktisches Tool, kein Sicherheitstool. Wenn Sie einen sicheren Passwort-Manager haben möchten, muss alles verschlüsselt bleiben, was in diesem Fall tatsächlich nicht bewiesen werden kann.
• Die Verwendung von einem Passwort-Manager ist immer unsicherer im Vergleich dazu, dass Sie keine verwenden, es sei denn, Sie steuern die Sicherheitsaspekte manuell , was nicht der Fall ist. Sie wissen nicht, wo die Daten gespeichert sind, in welchem ​​Format und wie der Zugriff darauf erfolgt.
• Smart-Lock beweist zu keinem Zeitpunkt die Sicherheit.
• Die Kryptografie- und Implementierungsdetails sollten zumindest irgendwo dokumentiert werden, aber das lässt mich nicht an den offiziellen Aussagen von Chrome wie "Ihre Passwörter sind immer verschlüsselt" zweifeln. Sie sagen nicht, wo das tatsächlich passiert: wenn sie gespeichert werden, wenn sie synchronisiert werden, wenn der Cache verwendet wird, wenn allgemeine Kommunikation stattfindet usw.
• Eine Schlussfolgerung von DEFCON 2016 lautet: „Verbraucher sind es nicht in der Lage, Sicherheitsansprüche von Unternehmen zu bewerten. Wir brauchen mehr Forscher, die Sicherheitsansprüche von Unternehmen im Namen von Verbrauchern untersuchen. '
• Alles wird zu einem bestimmten Zeitpunkt zwischengespeichert. Ihr Browser verwendet viel Trans-Cache, und jede überdurchschnittlich spezifische Anwendung kann daraus lesen.