25. März 2011
Gespeicherte Passwörter wieder finden
Jeder Internet Browser bietet die Möglichkeit an, Passwörter zu speichern, damit man sich schneller einloggen kann. Diese Passwörter sind ohne weitere Vorkehrungen jederzeit einsehbar, was Vor- und Nachteile hat.
Menschen sind vergesslich, sodass es eigentlich eine Zumutung ist, zu verlangen, dass man sich jedes Passwort für jede Seite auf der man angemeldet ist, merken soll. Um diesem Problem aus dem Weg zu gehen, gibt es vielerlei Ansätze. Viele wählen ein einfaches Passwort, das man sich gut merken kann und/oder verwenden überall das Gleiche. Das ist beides eine schlechte Idee, aus offensichtlichen Gründen.
Durch Monopolisierung des Internets wird es möglich, dass man mit einem einzigen Benutzerkonto überall Zugang erhält. Beispiele sind Facebook Connect und OpenID. Das Problem ist dasselbe, wie wenn man überall das gleiche Passwort hat.
Die wahrscheinlich beste Lösung bietet der Browser selbst. Es kann jeden Benutzernamen mit Passwort abspeichern, wenn man sich das erste Mal einloggt. Nicht jeder weiss, dass man diese Passwörter auch jederzeit ansehen kann. Dies kann nützlich sein, wenn man das Passwort an einem mobilen Gerät eintippen will und nicht im Browser wo es gespeichert ist. Oder wenn jemand sich an einem öffentlichen PC nicht ausgeloggt hat und man die Passwörter herausfinden möchte. Das soll keine Aufforderung sein, sondern nur ein Hinweis, dass man sich abmelden sollte. Dadurch, dass man weiss, wie es gehen würde, kann man Risiken besser einschätzen und sich überlegen, ob man mit den aktuellen Einstellungen genug geschützt ist. Aber hauptsächlich geht es darum sein vergessenes Passwort wieder zu finden.
Firefox 3.6
Ansehen: Unter Bearbeiten -> Einstellungen bzw. Extras -> Einstellungen bei “Sicherheit” -> “Gespeicherte Passwörter…” findet man alle gespeicherten Passwörter.
Löschen: Löschen lassen sich die Passwörter am selben Ort, wo sie angezeigt werden können. Anschliessend kann mann die Option “Passwörter Speichern” im Einstellungen-Fenster deaktivieren. Damit werden Passwörter künftig nicht mehr gespeichert.
Schützen: Die Passwörter können mit einem Masterpasswort geschützt werden. Dazu klickt man “Master-Passwort verwenden” und wählt dann ein sicheres Passwort, mit dem die restlichen verschlüsselt werden.
Chrome/Chromium 10
Ansehen: Unter Schraubenschlüssel -> Einstellungen -> Privates -> “Gespeicherte Passwörter verwalten…” befinden sich die Passwörter. Anzeigen kann man sie indem man eines auswählt und dann anzeigen klickt.
Löschen: Bestehende Passwörter können in den Einstellungen unter Details -> Internetdaten löschen… gelöscht werden, indem man dort “Gespeicherte Passwörter löschen” auswählt.
Dass Passwörter überhaupt gespeichert werden, kann man unter Privates -> “Passwörter nie speichern” abstellen.
Schützen: Chrome bietet keine Möglichkeiten die Passwörter zu schützen.
Opera 11
Ansehen: Opera bietet keine Möglichkeit das Passwort direkt anzusehen, was nicht heisst, dass es sicher ist. Unter Menü -> Einstellungen -> Einstellungen -> Formulare -> Passwortmanager sieht man von welchen Seiten Passwörter gespeichert wurden. Mit einfachen Javascript-Befehlen könnte ein Angreifer das Passwort bestimmten.
Löschen: Die Passwörter können im Passwortmanager gelöscht werden. Siehe oben.
Schützen: In den Einstellungen unter Erweitert -> Sicherheit -> “Master-Passwort setzen” kann man seine Schlüssel schützen wie bei Firefox.
Allzwecklösung: Javascript
Javascript ist eine clientseitige Scriptsprache. Das heisst, sie wird auf dem Computer des Benutzers ausgeführt und nicht auf dem Server. Es kann mit einer einzigen Ziele Code verraten, was sich hinter jedem beliebigen Passwort-Eingabefeld verbirgt, auf jedem Browser. Damit kann also selbst bei Opera das Passwort bestimmt werden, indem man zuerst auf die Seite geht, dort das Formular automatisch ausfüllen lässt und dann diese Zeile Javascript in die Adresszeile eingibt und ausführt:
javascript:alert(document.getElementById(“pass”).value);
Es erscheint eine Meldung mit dem Passwort, das sich in dem Feld befindet. Das Stichwort “pass” muss je nach Seite angepasst werden. Es ist die ID des Feldes mit dem Passwort und kann im Quelltext nachgelesen werden.
Paranoia?
Ob man Angst um seine Sicherheit haben muss, hängt immer davon ab, ob man ein lohnenswertes Ziel für Angriffe ist. Cracker sind meist profitorientiert und arbeiten in der Regel mit effektiveren Mitteln, wo kein physischer Zugang zum Computer nötig ist um Informationen zu beschaffen. Trojaner sind ein Beispiel dafür. Es ist viel wichtiger eine gute Antivirensoftware aktuell zu halten oder ein sicheres Betriebssystem zu benutzen.
Die Zugangsdaten, die einen Cracker am ehesten interessieren, sind jene zum e-Banking und diese lassen sich nicht speichern, da es sich jedes mal ändert. Ansonsten muss man weniger vor professionellen Datendieben auf der Hut sein, als vor der eigenen Ungeschicklichkeit. Einen öffentlichen Computer angemeldet stehen zu lassen, kann schlimmere Folgen haben, als die tausend Seiten, die jemand damit gedruckt hat. Deshalb mag es sinnvoll sein, seine Passwörter auf öffentlichen Computern nicht zu speichern. Sorgen um die Sicherheit muss man sich aber erst machen, wenn es um Firmendaten geht. Solche Dinge können den Job kosten. Es ist als würde jemand einen Prototypen des neusten iPhones in einer Bar liegen lassen, vor dessen Veröffentlichung.
von David Glenck