Frage:
Wie sicher speichert Chrome ein Passwort?
Tony Ruth
2017-10-01 22:23:43 UTC
view on stackexchange narkive permalink

Immer wenn ich mich auf einer neuen Website anmelde, fragt mich Chrome, ob die Anmeldedaten gespeichert werden sollen. Früher glaubte ich, dass dies ziemlich sicher war. Wenn jemand feststellt, dass mein Computer entsperrt ist, kann er den Anmeldebildschirm für eine Website mit den gespeicherten Daten passieren. Wenn er jedoch wie beim Auschecken erneut nach dem Kennwort gefragt wird oder sich von einem anderen Gerät aus beim Dienst anmelden möchte, ist er nicht erreichbar Glück.

Zumindest dachte ich das, als ich glaubte, dass der Browser das Passwort nicht selbst gespeichert hat, sondern einen Hash oder eine Verschlüsselung des Passworts. Ich habe festgestellt, dass der Browser die Felder Benutzername und Kennwort ausfüllt und das Kennwortfeld die Anzahl der Zeichen im Kennwort angibt.

Ich gehöre zu den Personen, die, wenn sie aufgefordert werden, ihr Passwort zu ändern, nur das gleiche Passwort behalten, aber am Ende eine Nummer ändern. Ich weiß, dass dies schlecht ist, aber mit der Häufigkeit, mit der ich aufgefordert werde, Passwörter zu ändern, konnte ich mich wirklich nicht an die Anzahl der von mir erwarteten Passwörter erinnern. Dies führt zu vielen gleichen Passwörtern, aber manchmal vergesse ich, wie die Endnummer für ein bestimmtes Login lauten muss.

Ich konnte mich nicht an die Endnummer eines bestimmten Logins erinnern und ging zu einer Website, auf der das Passwort gespeichert war. Ich habe die letzten paar Zeichen gelöscht und verschiedene Nummern und Bratschen ausprobiert. Ich wusste, was die richtige Endnummer war.

Es scheint mir, dass dies eine grundlegende Sicherheitslücke ist. Wenn ich das letzte Zeichen meines Passworts überprüfen kann, ohne andere zu überprüfen, steigt die Anzahl der Versuche, die zum Knacken des Passworts erforderlich sind, linear mit der Anzahl der Zeichen, die nicht exponentiell sind. Es scheint nur ein kurzer Schritt von dort zu sein, zu sagen, dass ein einfaches Skript alle gespeicherten Passwörter für alle wichtigen Websites extrahieren könnte, für die ich Passwörter gespeichert habe, wenn jemand zu meinem Computer kam, als dieser entsperrt wurde.

Ist das nicht der Fall? Gibt es eine andere Sicherheitsebene, die dies verhindern würde?

Ich denke, Sie würden stark von einem Passwort-Manager wie LastPass profitieren.
Die Antwort auf diese Frage hängt stark davon ab, über welchen Browser Sie sprechen, wenn Sie "einen Browser" sagen.In diesem Fall ist es Chrome, aber theoretisch gibt es keinen Grund, warum ein anderer Browser Passwörter nicht viel sicherer verwalten könnte.Oder ein zukünftiges Chrome-Update könnte Funktionen enthalten, die die Sicherheit dieser Funktion erheblich verbessern.Nur etwas zu beachten, wenn Sie die folgenden Antworten lesen.
@Awn: Sind Browser-Add-Ons nicht noch schlimmer als die Sicherheitsbedrohung?Chrome gibt dem Add-On-Autor eine unbegrenzte Möglichkeit, es zu "aktualisieren".Auf diese Weise kann er bösartigen Code hochladen, um die Konto- und Kennwortdaten der Benutzer zu stehlen, und dann erneut harmlosen Code hochladen - und niemand würde es wissen.
Für diejenigen, die sich fragen, wie _Firefox_ Passwörter speichert, habe ich hier eine Antwort, die dies detailliert beschreibt: https://security.stackexchange.com/a/120666/91904
Chrome muss das vollständige Passwort (nicht gehasht) speichern, damit es das Passwort an die Website senden kann.Daran führt kein Weg vorbei.
Wenn Sie von Ihrem Computer aufstehen, sperren Sie ihn (unter Windows wird er durch Drücken der Taste "Windows-Taste + L" sofort gesperrt). Am Ende des Tages ist es dasselbe, als hätten Sie Ihre Passwörter aufgeschrieben, aber lassen Sie die VorderseiteTür Ihres Hauses offen & unverschlossen, Sie haben größere Probleme (und wahrscheinlich alle Ihre teuren Gegenstände verloren :)).
AilihbdbirCMT - https://www.engadget.com/2017/03/22/critical-exploits-found-in-lastpass-on-chrome-firefox/
@Awn Ja, ich gehe nicht zurück zu LastPass, weil immer wieder Sicherheitslücken auftauchen, aber ich gehe ** sicher ** nicht zurück zu [dummen Tricks] (https://lifehacker.com/5937303/your-clever-Passwort-Tricks-schützen-Sie-nicht-vor-heutigen-Hackern) wie die, die das OP erwähnt hat.Übrigens, OP, Sie müssen Ihre Passwörter maschinell (oder würfelförmig) generieren. Die manuelle Auswahl ist der schlimmste Feind der Sicherheit.
@NH."Sicherheitslücken tauchen immer wieder auf."Oh Kind."Nie wieder zu X zurückkehren, da immer wieder Sicherheitslücken auftauchen.", Wobei X = Android, iOS, Chrome, Linux, Apache, *
Der Chrome-Passwort-Manager ist definitiv nicht sicher.Gestern habe ich eine Malware-Infektion (durch meinen Fehler) und mein gesamtes in Chrome gespeichertes Passwort wurde im Verzeichnis der Malware in den Appdata als txt-Datei gespeichert.
Willkommen, @midlan - dies scheint eher ein Kommentar als eine Antwort zu sein.Derzeit liefert Ihre Antwort keinen anderen Kontext oder Beweis als Ihre persönliche Erfahrung.Schreiben Sie dies entweder als Kommentar (wenn Sie genug Ruf dafür haben) oder erweitern Sie Ihre Antwort um * wie * der Passwortspeicher kompromittiert werden kann (ja, das kann, aber wie genau? Unter welchen Umständen?).
Malware kann jeden Kennwortspeicher sichern, wenn er zu diesem Zeitpunkt entsperrt wurde, und der Kennwortspeicher von Chrome wird beim Anmelden entsperrt.Das macht es nicht unsicher, es bedeutet nur, dass Malware keine Bedrohung darstellt, vor der es geschützt wurde (zusammen mit jedem anderen Passwort-Tresor kann nicht wirklich viel getan werden, wenn Sie Ihre Passwörter entsperren, während Malware ausgeführt wird)..
Neun antworten:
Meir Maor
2017-10-02 00:10:12 UTC
view on stackexchange narkive permalink

Chrome speichert Ihren Passworttext nicht nur, sondern zeigt ihn Ihnen an. Unter Einstellungen -> Erweitert -> Kennwörter verwalten finden Sie alle Ihre Kennwörter für alle Ihre Websites. Klicken Sie auf "Anzeigen" und es wird im Klartext angezeigt.

Hash-Passwörter funktionieren für die Site, die Sie authentifiziert. Sie sind keine Option für Passwortmanager. Viele verschlüsseln die Daten lokal, aber der Schlüssel wird auch lokal gespeichert, es sei denn, Sie haben ein Master-Passwort eingerichtet.

Ich persönlich verwende den Chrome-Passwort-Manager und finde ihn praktisch. Ich habe jedoch auch eine vollständige Festplattenverschlüsselung und sperre meinen Bildschirm sorgfältig. Das macht das Risiko imho vernünftig.

Sie scheinen inkonsistent zu sein (viele sind es), indem Sie sowohl einprägsame Passwörter auswählen als auch einen Passwort-Manager verwenden. Und ich wage zu vermuten, dass Sie das Passwort oder zumindest das Thema auf vielen Websites sogar wiederholen können. Dies gibt Ihnen das Schlimmste aus beiden Welten. Sie erhalten die Risiken eines Passwort-Managers ohne die Vorteile.

Mit einem Passwort-Manager, dem Sie vertrauen, können Sie jeder Site ein eindeutiges zufälliges Passwort geben, das überhaupt nicht einprägsam ist, und viel Schutz vor vielen sehr realen Angriffsmethoden erhalten . Im Austausch für einen einzelnen Fehlerpunkt Ihres Passwort-Managers. Selbst mit einem weniger als perfekten Passwort-Manager ist dies kein unangemessener Kompromiss. Mit einem guten Passwort-Manager wird dies zur bewährten Methode für den Konsens.

Zum Hinzufügen bearbeiten: Bitte lesen Sie die Antwort Henno Brandsma, in der erläutert wird, wie Anmeldekennwort und Betriebssystemunterstützung zum Verschlüsseln von Passwörtern verwendet werden können. Dies bietet einen angemessenen Schutz für Ihre Kennwörter, wenn der Computer ausgeschaltet / gesperrt ist (eine vollständige Festplattenverschlüsselung ist besser) und hilft nicht viel, wenn Sie Ihren Computer entsperrt lassen. Selbst wenn der Browser ein Kennwort zum Anzeigen von Debug-Tools für Klartext benötigt, können Sie bereits ausgefüllte Kennwörter als @ Darren_H-Kommentare anzeigen. Die vorherige Empfehlung verwendet weiterhin zufällige eindeutige Passwörter und einen Passwort-Manager.

In der neuesten Chrome-Version (68) befindet sich das Menü nicht im erweiterten Bereich, sondern im ersten Abschnitt (Einstellungen -> Personen -> Kennwörter) - oder geben Sie einfach "chrome: // settings / passwords" in die Adressleiste des Browsers ein
Henno Brandsma
2017-10-02 03:12:17 UTC
view on stackexchange narkive permalink

Chrome (unter Windows) verschlüsselt die Kennwörter beim Speichern tatsächlich. Dies geschieht jedoch so, dass nur jemand, der Ihr Anmeldekennwort kennt (oder Ihre Anmeldesitzung entführt), die gespeicherten Kennwörter tatsächlich verwenden oder anzeigen kann. Dies ist gut dokumentiert (es wird die sogenannte Datenschutz-API (DPAPI) verwendet, die in Windows ab NT 5.0 (d. H. Windows 2000) verfügbar ist und heutzutage AES-256 zum Verschlüsseln der Kennwortdaten verwendet). Google ist der Ansicht, dass dies eine ausreichende Sicherheit darstellt, da es den gleichen Schutz bietet wie Ihr gesamtes Login. Auf dem Mac oder Linux verwenden sie die native Schlüsselbundtechnologie, um ein spezielles Chrome-Hauptkennwort zu schützen und im Wesentlichen den gleichen Effekt zu erzielen. Lesen Sie die Quellen für alle Details ...

Edge und IE (natürlich nur unter Windows verfügbar) verwenden diese Technologie übrigens auch unter einem Wrapper namens Credential Store in neueren Windows-Versionen (und zuvor verwendeten sie DPAPI-Daten, die in der Registrierung gespeichert waren). Weitere Informationen zu DPAPI finden Sie unter hier, z. B.

. Ein Beispiel dazu finden Sie unter https://github.com/byt3bl33d3r/chrome-decrypter Personen extrahieren gespeicherte Kennwortdaten und kennen Ihre Anmeldeinformationen.

Vor kurzem wurde das System unter Windows auf ein System geändert, das eher dem von MacOS ähnelt: Ein 256-Bit-Masterkey wird gespeichert (in einer separaten Datei mit dem Namen Local State) im App-Verzeichnis, Base64-codiert und in JSON dargestellt) erneut als DPAPI-Geheimnis, und jedes Kennwortelement ist dann ein hexadezimal codierter, AES-GCM-verschlüsselter Eintrag in der SQLite-Datenbank in demselben Verzeichnis (alle unter diesem Hauptschlüssel) , aber jedes mit seiner eigenen 12-Byte-Nonce und einem 16-Byte-Tag zum Schutz der Integrität). Es hängt also letztendlich von den Anmeldeinformationen des Benutzerkennworts ab. Sobald das Benutzerkennwort (oder vielmehr sein SHA1-Hash) bekannt ist, können alle Einträge entschlüsselt werden. Wie gesagt, dies ist beabsichtigt. Sogar Microsoft Edge (Chromium Edition) verwendet dieses System jetzt, wie in diesem Blogpost behauptet.

Auf typischen Linux-Desktop-Systemen verwendet Chrome den Sitzungsschlüsselring (d. H. GNOME-Schlüsselring oder KWallet, der die überwiegende Mehrheit der Linux-Desktop-Installationen abdeckt), der Kennwörter mit einem Schlüssel verschlüsselt, der aus dem Kennwort des Benutzerkontos für die Speicherung abgeleitet wird.
@DavidFoerster legt dort tatsächlich ein zufälliges Chrome-Passwort ab, das den in der Passwortdatenbank verwendeten Schlüssel ableitet.Der Schlüsselbund / die Brieftasche bietet genau wie Windows den gleichen Schutz wie die Anmeldung.
Obwohl diese Antwort nicht als Antwort ausgewählt wurde, sollte sie nicht übersehen und ernsthaft in Betracht gezogen werden, wenn versucht wird, das Risiko der Verwendung des Passwortspeichers von Chrome zu bewerten und das Risiko zu minimieren.
Hinweis: Unter Linux kann der Ort, an dem Chrome Kennwörter speichert (welcher Schlüsselring verwendet werden soll oder außerhalb des Schlüsselbunds, unverschlüsselt im Datenordner von Chrome), mithilfe der Einstellung [--password-store] (https://peter.sh/experiments) geändert werden/ chromium-command-line-switch / # password-store).
@Uniphonic LastPass kann sie sehen, weil sie so ausgeführt werden, wie Sie es möchten, und die Verschlüsselungsschlüssel für Sie verfügbar sind, da Chrome kein "Salt" hat, das es für sich selbst verwendet, was es tun könnte.Open Source zu sein bedeutet jedoch, dass jeder auch dieses „Chromsalz“ sehen kann, was den Zweck zunichte macht.Das zweite Problem tritt bei der Synchronisierung von Kennwörtern in Chrome zwischen Computern auf, wenn Sie sich mit Ihrem Google-Konto anmelden.Diese Einstellung können Sie deaktivieren, wenn Sie dies nicht möchten.Malware, die auf Benutzerebene ausgeführt wird, kann sie auch sehen, wenn sie sich dessen bewusst ist.
@HennoBrandsma OK, danke!Ich denke, das erklärt auch, warum Chrome für Passwort-Dumping anfällig ist, wie in einer anderen Antwort https://security.stackexchange.com/a/170535/165747 angegeben
Sie wissen, dass Sie lediglich den Chrome-Benutzerdatenordner auf einen anderen Benutzer kopieren müssen.Entsperren Sie dann das Kennwort dieses neuen Benutzerkontos in Chrome ... Chrome entschlüsselt es, auch wenn es nicht dasselbe Windows-Konto ist, sofern das Kennwort korrekt ist.
@NotoriousPyro Nein, das wird nicht funktionieren, das andere Konto müsste die gleichen S-ID- und Masterkey-Dateien haben, die es nicht haben wird.Es ist nicht * nur * das Login-Passwort des Benutzers, sondern Sie müssen viel mehr klonen und es ist verboten, dieselbe S-ID zwischen Benutzern derselben Domain usw. zu haben, was sehr schwer zu realisieren ist.Die Verwendung von Offline-DPAPI-Entschlüsselungstools ist viel einfacher als von Ihnen vorgeschlagen.
Nein, du liegst falsch.Ich habe es viele Male gemacht und Benutzerdaten von vielen verschiedenen Systemen kopiert und musste mein aktuelles Benutzerkennwort eingeben ... Sie sollten es versuchen
@HennoBrandsma Der Zweck von Salt besteht darin, vorberechnete Risse in der Regenbogentabelle zu verhindern. Daher ist das Salt im Allgemeinen öffentlich, sollte jedoch per Passwort geändert werden.
@HennoBrandsma Leider habe ich überprüft, und Chrome unternimmt nicht den grundlegenden Schritt, ein anderes Salt pro Passwort zu speichern. Daher ist das Salt von geringem Wert, aber ich denke, dass der Passwortspeicher von Chrome ansonsten einigermaßen sicher ist.
@NetMage Unter Linux verschlüsseln sie alle Passwörter mit demselben Hauptkennwort (das in einem Schlüsselketten-ähnlichen System gespeichert ist).Kein Salz da, während die Windows DPAPI-Blobs unterschiedliche Salze haben, die konstruktionsbedingt „eingebaut“ sind.Das Windows-System ist wirklich in Ordnung.Das Linux-Master-Passwort wird mit einer 128-Bit-Entropie generiert, also nicht brutal erzwungen.Es tritt ein Leck auf, welche Konten das * gleiche Passwort * haben. Das Windows-System zeigt dies nicht an.
Elias
2017-10-02 03:00:07 UTC
view on stackexchange narkive permalink

Bitte, bitte, bitte hören Sie auf, Ihre Passwörter wiederzuverwenden!

In Firefox können Sie tatsächlich ein Hauptkennwort festlegen, das Ihre gespeicherten Passwörter vor dem Anzeigen schützt. Dieses Hauptkennwort wird auch einmal pro Sitzung benötigt, bevor der Browser Kennwörter für Sie eingibt.

Sie können auch einen universellen Kennwortmanager verwenden, z. B. Keepass.

Wie auch immer, für die meisten Menschen ist die Gefahr, ein Passwort zu verlieren, weil eine Site gehackt wurde, größer als das Verlieren auf ihrem eigenen Computer. Das liegt daran, dass ein Angreifer mit Zugriff auf Ihren Computer viele andere Möglichkeiten hat, Sie anzugreifen. Einer der Hauptvorteile der Verwendung eines Passwort-Managers besteht darin, dass Sie das Passwort nicht mehr manuell eingeben müssen, damit Sie tatsächlich völlig zufällige und sichere Passwörter auswählen können.

Wenn Sie Passwörter schon länger wiederverwenden Es gibt eine übersichtliche Website, auf der Sie einige der bekannteren Verstöße überprüfen können, um festzustellen, ob Sie betroffen sind: https://haveibeenpwned.com/

Wenn Sie viele verschiedene verwenden müssen Maschinen, die Sie in Betracht ziehen können, verwenden Sie beispielsweise Keepass2Android auf Ihrem Telefon.

@jiggunjer - Wenn also jemand Zugriff auf Passwort A erhält, hat er Zugriff auf Ihre Bank, Google, Hosting, Kryptowährung und Betriebssystem.Katastrophe. Zumindest sollte jeder von diesen eine Zwei-Faktor-Authentifizierung ODER ein eindeutiges Passwort haben.Am liebsten beides.
@Katinka-Hesselink, nicht meine Bank oder Google, und mein Betriebssystem / meine Brieftasche erfordern physischen Zugriff.Das ist zwei Faktoren.Ja, sie können sowohl mein Hosting als auch mein VPN erhalten, wenn sie wissen, welche Dienste ich verwende und welche E-Mails mit ihnen verknüpft sind.Unwahrscheinlich.
@jiggunjer Ich habe jetzt gelernt, dass das, was für den Benutzer unwahrscheinlich ist, nur ein Anreiz für den Hacker ist.Hacker mögen Herausforderungen und wenn sie eine sehen, werden sie es versuchen.
Teun
2017-10-02 20:04:21 UTC
view on stackexchange narkive permalink

Sie können Kennwörter auch in Chrome anzeigen, indem Sie den HTML-Code ändern. Wenn Sie den Typ des Eingabefelds in "Text" ändern, werden vorab ausgefüllte Informationen im Klartext angezeigt. Wenn also jemand an Ihrem Computer eine Website kennt, auf der Sie registriert sind, und Chrome Ihr Kennwort automatisch ausfüllt, kann er diese anzeigen.

Daniel Grover
2017-10-03 00:21:44 UTC
view on stackexchange narkive permalink

Chrome ist anfällig für Passwort-Dumping. Es gibt viele Tools, die Chrome-Passwörter sichern. LaZagne ist einer von ihnen. Sie benötigen nicht einmal Administratorrechte oder Anmeldeinformationen oder ähnliches.

Anscheinend ist dies so einfach wie das Herstellen einer Verbindung zur SQLite-Datenbank und das anschließende Aufrufen von Win32CryptUnprotectData, um das Kennwort zu entschlüsseln.

https://github.com/AlessandroZ/LaZagne

Ein böswilliger Benutzer kann einfach diesen Kennwort-Dumper ausführen oder Malware installieren und dieses Tool dann remote ausführen . Ein nicht technischer Benutzer kann diese Aufgabe jedoch nicht ausführen. Das Speichern von Passwörtern im Browser ist daher sicher für nicht technische Personen, jedoch unwirksam für Malware oder technische Benutzer.

Wie knackt LaZagne die Datenbank, wenn Chrome AES-256-Verschlüsselung verwendet?
Wenn Sie sich die Quelle ansehen (https://github.com/AlessandroZ/LaZagne/blob/master/Windows/lazagne/softwares/browsers/chrome.py#L82), scheint es, dass sie Zugriff auf Ihre hat, weil sie so läuft wie Siegeschützte Daten.Dies ist kein wirklicher Angriff, mit dem auf die Daten anderer Benutzer zugegriffen werden kann.
Die Frage betrifft jemanden, der unbeaufsichtigt auf seinen Computer zugreift.Darüber hinaus können mit Administratorrechten, die durch die Umgehung der Benutzerkontensteuerung oder andere Sicherheitslücken wie DLL-Hijacking erworben wurden, auf alle Benutzerdaten zugegriffen werden.
@jiggunjer Siehe meine Antwort oben, es verwendet DPAPI, dessen Sicherheit letztendlich von der Stärke Ihres Anmeldekennworts abhängt (wenn der Angreifer den Prozessspeicher nicht sichern kann, in dem sich auch die Schlüssel befinden).Wenn Sie es selbst ausführen, führt Windows die Entschlüsselung mit CryptUnprotectData durch, da Sie Zugriff auf Ihre eigenen Schlüssel haben.
Christophe Roussy
2017-10-02 17:08:25 UTC
view on stackexchange narkive permalink

Die größte Gefahr besteht darin, einen Browser ohne Hauptkennwort zu haben und Ihren Computer zu verlassen, ohne ihn zu sperren: Jeder kann dann schnell ein Bild Ihrer gespeicherten Passwörter aufnehmen, es dauert nur ein paar Sekunden. So offensichtlich: Sperren Sie immer Ihren Computer und Legen Sie ein Hauptkennwort fest, verwenden Sie Kennwörter oder ähnliche Muster nicht wieder ...

Damit Chrome ein Kennwort im Klartext anzeigt, müssen Sie Ihr Anmeldekennwort eingeben.Und es wird immer nur einer auf einmal tun.Soweit ich das beurteilen kann, gibt es keine Möglichkeit, alle Ihre Passwörter anzuzeigen.
Das ist also sicherer als die Firefox-Standardeinstellung.
Klingt so, als wäre eine zeitbasierte Erweiterung für die automatische Abmeldung eine gute Idee.Z.B.Chrom nach 15 Minuten Inaktivität abmelden.
allo
2017-10-05 19:39:38 UTC
view on stackexchange narkive permalink

Dies hängt von Ihrer Plattform ab.

Unter Linux verwendet Chrome kwallet / gnome-keyring auf dem KDE- oder gnome-Desktop, was beide eine gute Sicherheit bieten sollte. Unter OSX wird der OSX-Schlüsselring verwendet, der ebenfalls eine gute Sicherheit bietet. Unter Windows implementieren sie einen eigenen Kennwortspeicher, der nicht so sicher ist wie die Systemschlüsselringe auf dem anderen Betriebssystem.

Für die spezifischen Schwachstellen in Die Windows-Implementierung sieht die anderen Antworten.

Tgr
2017-10-02 12:36:30 UTC
view on stackexchange narkive permalink

Wenn Sie sich Sorgen machen, dass jemand auf Ihren Laptop zugreift, während Sie angemeldet sind (z. B. wenn Sie ihn bei der Arbeit oder an einem öffentlichen Ort verwenden und ihn gelegentlich unbewacht lassen oder einem Familienmitglied nicht vertrauen), speichern Sie das Kennwort in einem Browser ist keine gute Lösung. Wenn Sie sich Sorgen über Malware auf Ihrem Computer machen (die möglicherweise Ihre Eingabe erfasst) oder wenn Leute sehen, was Sie eingeben, ist dies ziemlich sicher, und dies sind weitaus häufigere Probleme.

Diese Antwort ist imo umgekehrt.Nicht technisch versierte Benutzer können die Klartextkennwörter wahrscheinlich nicht abrufen, aber Malware kann sie ohne Benutzerinteraktion problemlos ausgeben.Siehe meine Antwort.Sie können das Tool selbst ausführen, wenn Sie mir nicht glauben.
Chrome mit einem Master-Passwort ist IMO ungefähr so gut gegen Passwortdiebstahl geschützt wie ein Passwort-Manager.(Das heißt, nicht besonders gut. Wenn auf Ihrem Computer etwas ausgeführt wird und dieselben Zugriffsrechte wie Sie hat, sind Ihre Chancen, zu verhindern, dass es Ihre Kennwörter stiehlt, ziemlich begrenzt.) Ohne ein Hauptkennwort sind weder Browser noch Kennwortmanagerkann viel Verteidigung bieten.
John Denniston
2017-10-04 18:01:29 UTC
view on stackexchange narkive permalink

Es ist ziemlich sicher, dass kein Mechanismus 100% sicher ist, aber einige Mechanismen sind sicherer als andere. Auf der einfachsten Ebene ist ein langes Passwort sicherer als ein kurzes Passwort, aber schwieriger zu merken und richtig einzugeben. Sie müssen sich entscheiden, wo das Gleichgewicht zwischen Sicherheit und Benutzerfreundlichkeit liegt. Passwortmanager sind eine Antwort, wenn sich das Kosten-Risiko-Verhältnis für Sie richtig anfühlt.

Wenn Sie keinem Mechanismus vertrauen, der Ihr Passwort auf Ihrem Computer speichert, können Sie dies umgehen, indem Sie einen Algorithmus verwenden jedes Mal, wenn Sie es brauchen, eines für Sie zu generieren. Ich verwende zufällig ein kleines Programm, das eine Variante von Playfair implementiert ( https://en.wikipedia.org/wiki/Playfair_cipher), um einen Teil meines Passworts für eine bestimmte Site zu generieren - was den Vorteil hat dass ich es von Hand erstellen kann, wenn ich muss. Vermeiden Sie jedoch triviale Algorithmen (wie das Umkehren der Buchstaben auf einer Website).

Viele Unternehmen verlangen, dass Sie Ihr Passwort regelmäßig ändern. Früher war dies Standard, aber das GCHQ rät jetzt von der Praxis ab (siehe https://www.ncsc.gov.uk/articles/problems-forcing-regular-password-expiry) Grund, den Sie erwähnen. Hoffentlich wird diese Anforderung mit der Zeit weniger verbreitet.



Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...