[Born-IT] Risiko: Chrome und die Klartext-Passwörter unter Linux

Wer unter Linux den Google Chrome-Browser einsetzt, sollte sich über eines im Klaren sein. Dort verwendete Passwörter liegen eventuell im Klartext vor. Hier einige Informationen, die mit Blog-Leser Malte als Gastbeitrag zur Verfügung gestellt hat. Die allgemeine Vorstellung ist ja:

You do not have permission to view link please Anmelden or Registrieren

You do not have permission to view link please Anmelden or Registrieren

Autor: Günter Born

 

[Shodan]

Standardmäßig verschlüsselt Chrome Passwörter auf Windows-Maschinen mit der Windows API-Funktion CryptProtectedData. Dabei verwendet die API-Funktion die Benutzeranmeldeinformationen (Benutzername und Passwort) des lokalen Benutzers und des lokalen Computers selbst.

Ja ganz klammheimlich ist das "Schützen von Secrets" unter Windows doch recht gut geworden. Benutzeridentität, Maschinenidentität, Unterstützung für TPM, Smartcard und PKI, Die "Keychain" dort wird langsam was, auch wenn die Usability für Endnutzer crappy ist.

 

[BurnerR]

Habe mich etwas gewundert, weil ich im Kopf habe, dass das nicht nur bei Chrome so ist.
Machte das nicht sogar Linux selber, wenn kein entsprechendes Programm gefunden wird?

Die "Maltes Tipps für mehr “Sicherheit”"... Viel Bullshit dabei.
"Weiterhin empfehle ich keine Passwort-Manager zu verwenden, sondern alle Passwörter im Kopf zu merken."
Mega fail.
"Prüft nur Passwörter bei Passwort-Testseiten und ähnlichen Dingen, die ihr nicht mehr verwendet, um ganz sicher zu gehen, dass eure Daten nicht gehackt werden können."
Seine Passwörter auf Testseiten eingeben. What?