Forscher: Chrome, Safari Password Manager benötigt Arbeit

Laut einem Sicherheitsforscher, der am Freitag eine Studie zu Browser-Passwort-Managern veröffentlicht hat, könnten Google Chrome und Apples Safari-Browser Passwörter besser schützen.

"Safari und Chrome sind im Grunde genommen die schlechtesten Passwort-Manager ein großer Webbrowser ", sagte Robert Chapin, Präsident von Chapin Information Services, in seinem Bericht, in dem die Arten von Sicherheitsüberprüfungen untersucht wurden, mit denen Browser sicherstellten, dass sie Benutzernamen und Kennwörter an seriöse Websites schickten statt an clevere Hacker.

Vor zwei Jahren berichtete Chapin von einem weit verbreiteten Passwortmanager-Fehler im Firefox-Browser, der von Mozilla-Entwicklern als kritisch eingestuft wurde. Der Bug wurde von Angreifern auf der MySpace.com-Website verwendet, die eine gefälschte Anmeldeseite eingerichtet hatten, um Kontoinformationen von Benutzern der Social-Networking-Site zu stehlen.

[Weitere Informationen: So entfernen Sie Malware von Ihrem Windows-PC]

Firefox hat jetzt viel getan, um seinen Passwort-Manager zu verbessern, aber all diese Produkte sind noch lange nicht perfekt, sagte Chapin in einem Interview. "Sollte jeder 100 Prozent implizites Vertrauen in jeden Passwort-Manager setzen?" er hat gefragt. "Keineswegs."

Ein Problem besteht darin, dass die heutigen Passwortmanager dazu verleitet werden können, unterschiedliche Passwortrechte an verschiedene Teile derselben Website zu senden. Das haben Hacker mit der MySpace-Attacke getan und ein gefälschtes Passwort-Eingabeformular auf einer MySpace-Seite gepostet. Da sich sowohl die gefälschten als auch die echten Login-Formulare auf der myspace.com-Domain befanden, konnten Browser wie Firefox dazu verleitet werden, Login-Informationen automatisch an die Betrüger zu senden. Dieser Bug wurde in Firefox behoben, aber Chrome und Safari sind immer noch anfällig für ähnliche Angriffe.

Ein weiteres Problem ist, dass Browser Passwörter, die für eine Domain, beispielsweise Google.com, gedacht sind, an eine andere Domain - sagen wir MySpace - senden. com - ohne den Benutzer zu warnen, sagte er. Das liegt daran, dass Browserhersteller davon ausgehen, dass die Seite, die nach dem Passwort fragt, vertrauenswürdig sein sollte, selbst wenn sie das Passwort an eine andere Domain sendet.

Chapin sagt, dass er den Opera Password Manager benutzt, weil er ihn besser überlässt Passwörter für bestimmte Webseiten speichern. Er hat einen Online-Test veröffentlicht, in dem Benutzer die Sicherheit ihrer eigenen Passwort-Manager testen können.

Robert Hansen, CEO der Web-Sicherheitsberatung SecTheory, sagte, dass die Sicherheits-Community seit einigen Jahren weiß, dass Browser-Passwort-Manager unsicher sind. Dies liegt hauptsächlich daran, dass die Browser selbst für so viele verschiedene Arten von Angriffen anfällig sind. "Sie sind aus Sicherheitsgründen keine gute Idee, wenn sie in den Browser integriert sind", sagte er per Sofortnachricht. "Der Browser selbst ist nicht dafür ausgelegt, einen großen Teil der Exploits zu stoppen, die den Diebstahl von Passwortmanagern ermöglichen. Ohne diese Exploits würden Passwort-Manager-Hacks nicht funktionieren."