Kann ein Browser-Plugin / Addon auf meine Passwörter zugreifen?


10

Es wird zunehmend so, dass viele Browsererweiterungen und Plugins Zugriff auf "alle meine Daten" benötigen (sowohl in Chrome als auch in Firefox; ich werde Internet Explorer nicht kommentieren).

Ich frage mich, ob es diesen Plugins und Addons möglich ist, auf meine Bankdaten zuzugreifen (zum Beispiel), wenn ich sie besuche, oder auf Daten zuzugreifen, die über Formulare übermittelt wurden.

Was sind die Sicherheitsauswirkungen von Addons?

Antworten:


17

Dieser Beitrag gilt nur für Firefox und Chromium / Google Chrome. Ich kann keine Kommentare zu Internet Explorer, Opera oder mobilen Browsern abgeben. Auch meine Mathematik weiter unten könnte falsch sein, aber die Grundidee ist richtig.

Dies ist natürlich bei Firefox und Chrome / Chromium jedoch unwahrscheinlich.

Sind meine Passwörter (die im Browser gespeichert sind) sicher?

Diese Antwort ist eine meiner Favoriten: Es kommt darauf an. Vom Browser gespeicherte Passwörter müssen eine wichtige und aus Sicherheitsgründen albtraumhafte Bedingung erfüllen: Sie müssen Klartext sein oder in Klartext umkehrbar sein.

Klartext vs. verschlüsselt vs. gehackt

Warum ist das so schlimm? Stellen Sie sich vor, jemand bricht in einen Server ein und stiehlt die Passwortdatenbank. Es gibt zwei mögliche Ergebnisse:

  1. Die Passwörter sind Klartext (oder leicht umkehrbar), sodass der Cracker jetzt vollen Zugriff auf alle Konten hat.
  2. Die Passwörter werden gehasht (oder verschlüsselt). Ein Brute-Force-Angriff gegen die Hashes wäre erforderlich, um die Passwörter zu erhalten und auf die Konten zuzugreifen. Selbst jetzt, wo Ihr Benutzername und Ihr Passwort gestohlen wurden, ist Ihr Konto immer noch sicher.

Da der Browser das Passwort zu Websites in der Lage sein muss , zu senden, kann es nicht Hash - Passwörter, kann es nur verschlüsseln sie (oder sie sogar als Nur- Text speichern). Dies ist etwas, das man immer beachten sollte (das gleiche gilt für E-Mail-Clients, Chat-Anwendungen usw.).

Nur weil es verschlüsselt ist, heißt das nicht, dass es sicher ist

In Firefox können Sie standardmäßig Kennwörter speichern. Es verschlüsselt sie auch . Gleiches gilt für Chrom (siehe Anhang "Nun, es kommt darauf an ..." ). Das Problem dabei ist, dass der Schlüssel zur Entschlüsselung auch mit den Passwörtern gespeichert wird. Dies macht die Verschlüsselung zu einer kleinen Unannehmlichkeit für jemanden, der Ihre Passwörter haben möchte und sie in keiner Weise aufhält.

Dann speichern Sie den Schlüssel nicht mit den Passwörtern!

Um die Passwörter sicherer zu machen , müssen wir den Schlüssel von den verschlüsselten Passwörtern entfernen. Dies erfolgt in Firefox durch Festlegen eines Hauptkennworts , das dann zum Ver- und Entschlüsseln aller Ihrer Kennwörter verwendet wird. Mit dieser Technik trennen Sie den Schlüssel von den verschlüsselten Daten, was immer eine gute Idee ist (schließlich halten Sie Ihren Haustürschlüssel nicht an einem Haken vor Ihrer Tür außen, oder?).

Passwörter sind nur so sicher, wie Sie sie erstellen

Warum habe ich vorhin gesagt, dass Ihre Passwörter jetzt sicherer und nicht mehr sicher sind ? Denn jetzt hängt die Sicherheit Ihrer Passwörter von dem von Ihnen gewählten Passwort ab. Das heißt, das Passwort "asdf" sollte in keiner Weise als sicher angesehen werden. Weder ist "12345". Gute Passwörter sind lang , weil das brutale Erzwingen viel Zeit in Anspruch nimmt. Das Passwort "VioletIsAnotherColor" ist aufgrund seiner Länge technisch sicherer als "D0! L4riZe", obwohl das zweite Sonderzeichen enthält. Lassen Sie uns einen kurzen Blick darauf werfen.

"VioletIsAnotherColor"
Länge: 20
Mögliche Zeichen: 52 (26 Kleinbuchstaben + 26 Großbuchstaben)

"D0! L4riZe"
Länge: 9
Mögliche Zeichen: 77 (26 untere + 26 obere + 10 Ziffern + 15 Specials)
Specials :! "@ $% & / () =? * + # -

Wie viele Versuche brauchen wir also, um diese Passwörter zu knacken und ihre Zeichensätze und Länge zu kennen?

"VioletIsAnotherColor"
52 20 = ~ 20 Dezillionen (~ 2 × 10 34 )

"D0! L4riZe"
77 9 = ~ 95 Billiarden (~ 9 × 10 16 )

Wie wir sehen, ist das letztere Passwort trotz des breiteren Zeichensatzes leichter zu erzwingen als das lange mit seinem begrenzten Satz. Dies liegt an der Länge. (Ein weiterer Vorteil ist, dass der erste leichter zu merken ist.) Einzelheiten zu diesem Thema finden Sie in dieser IT-Sicherheitsfrage.

Verwenden Sie daher nach Möglichkeit eine Passphrase und kein Kennwort .

Zurück zum Thema, wie sicher sind meine Passwörter vor einem Spoofing-Addon?

Sie sind nicht. Dies liegt daran, dass Addons Zugriff auf die gerade besuchte Website haben. Sie können Informationen daraus extrahieren, einschließlich eingegebener Passwörter. Addons sind wie jede andere installierte Software ein Sicherheitsrisiko. Installieren Sie nur Addons, denen Sie vertrauen.

Groß! Woher weiß ich das?

Installieren Sie nur Addons aus vertrauenswürdigen Quellen. Für Firefox ist es die AddOns-Seite und für Chromium der Chrome Web Store oder wenn Sie dem Autor / Distributor vertrauen. Beide garantieren, dass die AddOns überprüft und sicher sind.

Weder die Mozilla AddOns-Seite noch der Chrome Web Store garantieren in irgendeiner Weise, dass das Addon sicher ist. Sie verwenden automatisierte Überprüfungsprozesse, die möglicherweise böswillige Addons abfangen. Am Ende des Tages besteht noch ein Risiko.

Installieren Sie Addons nur von Quellen, denen Sie vertrauen.

Moment mal; Haben Sie gerade andere installierte Software erwähnt?

Natürlich! Nichts hindert andere installierte Software daran, Ihre Passwörter aus dem Browser zu holen, Man-in-the-Middle-Angriffe auszuführen oder sogar einen Proxy bereitzustellen, der Ihre Bank-Websites fälscht. Gleiches gilt für Browser Plugins. Als Faustregel gilt: Installieren Sie keine Software, der Sie nicht vertrauen können.

Fazit

Was solltest du davon wegnehmen?

  • Installieren Sie niemals Software / Plugins / Addons, denen Sie nicht vertrauen.
  • Wenn Sie immer noch Zweifel haben, legen Sie ein Hauptkennwort fest.
  • Wenn Sie immer noch Zweifel haben, vertrauen Sie Ihrem Browser keine Passwörter, speichern Sie diese niemals.
  • Wenn Sie immer noch Zweifel haben, installieren Sie niemals Addons / Plugins.
  • Wenn nach wie vor im Zweifelsfall mit einem Live - System , das mit kann nicht manipuliert.

Nachtrag: "Nun, es kommt darauf an ..."

Wie ich erfahren habe, sind meine Annahmen in diesem Absatz nicht 100% korrekt, und ich möchte das korrigieren. Die folgenden Informationen gelten nur für die Speicherung der Kennwörter auf der Festplatte.

Google Chrome / Chromium

Es tatsächlich tut speichern Sie Ihre Passwörter in einer sicheren Weise auf der Platte, je nach Betriebssystem, auf dem es ausgeführt wird :

Microsoft Windows

Die Microsoft Windows API CryptProtectData/ CryptUnprotectDatawird zum Ver- / Entschlüsseln des Kennworts verwendet. Diese API funktioniert mit dem Kennwort Ihres Betriebssystemkontos und ist daher nur so sicher wie dieses Kennwort.

Mac OS

Die Ebene für MacOS generiert einen zufälligen Schlüssel basierend auf dem Kennwort des Schlüsselbunds des aktuellen Benutzers und fügt diesen Schlüssel dem Schlüsselbund hinzu. Auch dies ist nur so sicher wie das Passwort des Benutzers.

Linux

Nun ... lass uns nicht darüber reden.

Okay, wenn Sie wissen müssen, macht es genau das, was ich angenommen habe: Es speichert die Daten mit einem fest codierten Passwort. Warum ist das so? Einfach, weil es keine gemeinsame Infrastruktur gibt, um verschlüsselte Daten auf eine Weise zu den beiden anderen Systemen zu verarbeiten. Nein, ich habe nicht nur gesagt, dass Linux keine Verschlüsselungssysteme oder Sicherheit hat. es gibt viele Schlüsselanhänger / Schlüsselanhänger und Passwort - Speicherlösungen im User - Space . Wie es scheint, haben sich Chrome-Entwickler entschieden, keine davon zu verwenden. "Warum?" ist keine Frage, die ich beantworten kann.

Feuerfuchs

Verwendet immer einen generierten Schlüssel, der neben den Passwörtern gespeichert ist. Ausnahme: Wenn Sie ein Hauptkennwort festlegen, wird dieses ebenfalls verwendet.


Sprechen Sie über aufwendige. Das ist die rundeste Antwort, die ich je gesehen habe! Danke @ Bobby
FloatingRock

Es wurde erkannt, dass Chrome es Ihnen ermöglicht, den Zugriff für einige Plugins nach URL zu beschränken, Firefox jedoch keine Addon-Sandboxing / Berechtigungen hat.
FloatingRock

2
@ Bobby - Über dein VioletIsAnotherColorvs D0!l4riZefür Passwortstärke. Die erste technisch ist stärker ... wenn Sie einen Brute - Force - Angriff verwenden . Eine andere Art von Angriff ist jedoch der Wörterbuchangriff , bei dem der Angreifer methodisch und nicht zufällige Buchstaben und Zahlen, Wörter im Wörterbuch und Kombinationen dieser Wörter durchläuft. VioletIsAnotherColorkönnte innerhalb von ~ 1,2 Milliarden Möglichkeiten geknackt werden. Nur um technisch und alles zu sein, aber es ist erwähnenswert. (+1 sowieso übrigens) :)
Cullub

@cullub Wie kommst du zu 1 Milliarde Möglichkeiten? Selbst wenn ich ein "kleines" Wörterbuch mit nur 60.000 Einträgen annehme, komme ich zu 1,2 * 10 ^ 19, und das berücksichtigt keine Groß- / Kleinbuchstaben und mögliche Rechtschreibfehler.
Bobby

1
Ups, danke - sieht so aus, als hätte ich meine Zahlen falsch verstanden. Trotzdem habe ich ~ 1.2 * 10 ^ 21. Das berücksichtigt nicht die Großschreibung, wie Sie sagten, aber es enthält so ziemlich jedes Wort in der englischen Sprache, einschließlich etwa 50.000, die veraltet sind. (~ 200.000 insgesamt) Ich denke, es ist immer noch sicherer als die zufälligen Buchstaben / Zahlen eins, es sei denn, der Angreifer war schlau und verwendete nur die gebräuchlichsten Wörter. Die Großschreibung ist auch keine große Sache, da die meisten Passwörter wie diese keine zufällige Großschreibung haben - camelCase, WordCaps und alllowercase werden die meisten abdecken.
Cullub
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.