Viele Nutzer reizen Googles Chrome Browser zum Surfen gerne aus. Laut Statistikportalen liegt der Marktanteil von Chrome in Deutschland bei über 70 Prozent. Auch die interne Funktion der Passwortverwaltung ist beliebt und wird rege genutzt. Nun stellt sich die Frage: Ist es sinnvoll und vor allem sicher, dass Google Chrome die Nutzer-Passwörter generiert, speichert und bei Bedarf für Logins einfügt?
Speichert Google Chrome sicher die Passwörter?
Wie sinnvoll und sicher es ist seine Passwörter in Chrome zu speichern hängt natürlich vom Einsatzweck und der gewollten bzw. benötigten Sicherheit ab. So sollte man zum Beispiel zwischen einem Passwort für ein harmloses Forum und einem Zugang zu einer Bestellseite mit hinterlegten Kreditkarteninformationen unterscheiden. Google Chrome bietet bei allen Logins oder neuen Kontoanmeldungen seine Hilfe an, in dem der Browser Passwörter generiert, speichert und bei Bedarf automatisch einfügt.
Chrome nutzt zum Speichern und Verschlüsseln der Passwörter die in Windows vorhandene Data Protection API (DPAPI). Ist ein Nutzer mit seinem Google-Konto in Chrome angemeldet, dann finden sich die Passwörter bei den Einstellungen unter „Passwörter“ und lassen sich dort per Klick auch im Klartext zeigen.
Ein Gerät mit Chrome ist meist aktiv
Ist an einem einzelnen PC in Chrome der Nutzer abgemeldet, so kommt man nicht einfach per Klick an die gespeicherten Passwörter heran. Allerdings gibt es frei verfügbare Open-Source-Tools mit denen sich die Passwörter in Chrome auslesen lassen. Ein richtiger Passwort-Safe ist der Browser daher nicht.
In der Praxis nutzen viele Anwender ein Google-Konto, welches permanent angemeldet ist und synchronisieren so ihre Passwörter mit Chrome-Browsern auf anderen Geräten. Hat eine fremde Person, physikalisch oder aus der Ferne, einen Zugriff auf den PC oder ein Gerät, dann kann er einfach die Einstellungen anklicken und die Passwörter sehen.
Die Passwörter sind für die Synchronisation im Google-Konto verschlüsselt gespeichert, wobei aber Google wohl die Schlüsselcodes dazu hat. Dank der DSGVO sind die Daten aber definitiv innerhalb der EU gespeichert.
Ein guter Passwort-Safe ist sicherer
Für Einfachzugänge oder Gewinnspiele bei denen keine besonderen Passwörter gebraucht werden ist Google Chrome mit seinen Passwort-Funktionen eine bequeme Sache. Aber für alle anderen Passwörter sollte ein guter Passwort-Manager der Akteur sein. Die Open-Source-Szene bietet auch hier gute Programme an. Möchten Sie einen Profi-Manager ausprobieren, so sollten Sie sich F-Secure KEY anschauen. Die Einzelplatzversion ist in allen Funktionen frei nutzbar. Nur wenn Sie KEY auf mehreren Geräten inklusive automatischer Synchronisation nutzen möchten, müssen Sie das Produkt kaufen.
In Sachen Sicherheit ist KEY etwas ganz anderes als Chrome. Die verwendete Verschlüsselung mit 256 Bit AES ist derzeit der beste Standard. Nach der Eingabe eines Masterpassworts steht die Passwortliste bereit. Per Mausklick überträgt KEY die Anmeldedaten sicher und direkt in Anmeldemasken. Nach der Nutzung verschließt sich KEY nach einer vordefinierten Zeit automatisch.
Sichere Synchronisation von KEY
Die Synchronisation vom mehreren KEYs, etwa auf einem PC, Smartphone und Tablet, funktioniert auf eine sehr sichere Weise: die verschlüsselte Passwort-Datenbank liegt auf den Geräten. Für die Synchronisation tauscht F-Secure über seine Server nur verschlüsselte Teile der Datei aus ohne sie dabei selbst zu speichern oder zu öffnen. Das würde auch nicht funktionieren, da F-Secure das Masterpasswort für die Passwortdatei nicht kennt. Das weiß immer nur der Nutzer!
Ach ja: Die Server für KEY sind Eigentum von F-Secure und werden innerhalb der EU und nach den DSGVO-Richtlinien betrieben.
Kategorien