Google gerät wegen Passwort-Speicherung in Chrome in die Kritik

Google hat für den Umgang mit Passwörtern in seinem Browser Chrome deutliche Kritik einstecken müssen. Das kontrovers diskutierte Problem besteht darin, dass jeder eingeloggte Nutzer die in Chrome gespeicherten Passwörter einsehen kann. Wer also Zugang zu einem laufenden Rechner bekommt, kann sich die Online-Passwörter des Nutzers anzeigen lassen. Google hat sich für dieses Vorgehen allerdings bewusst entschieden und rechtfertigt es.

Um in Chrome gespeicherte Passwörter zu sehen, muss man nur chrome://settings/passwords besuchen – oder die Einstellungen aufrufen und dort „Passwörter“ sowie anschließend „gespeicherte Passwörter“ anklicken. Die Passwörter werden nun zunächst maskiert gezeigt, können aber einzeln per Klick in Klartext verwandelt werden. Es gibt keinerlei Sicherheitsmaßnahmen – nicht einmal ein optionales Masterpasswort.

„Google geht nicht offen mit Passwortsicherheit um“, schreibt der Entwickler Elliot Kember, der über das Problem einen Blogbeitrag verfasst hat. Schließlich bewerbe Google seinen Browser auf Youtube oder in Kino-Spots, also für den Massenmarkt. „Die Leute wissen nicht, dass das so funktioniert. Sie erwarten nicht, dass man ihre Passwörter so leicht einsehen kann. Jeden Tag speichern Millionen normale Anwender ihre Passwörter in Chrome. Das ist nicht okay.“

Der Leiter von Googles Chrome-Entwicklung, Justin Schuh, sieht es exakt andersherum. Mit einem anderen Modell würde man Anwendern nur einen falschen Eindruck von Sicherheit geben. „Dann denken die Leute, ihre Passwörter seien geschützt, aber sie sind es nicht. Sie lassen sich immer noch in trivialer Weise wiederherstellen. Und um sie auszulesen, muss ein Bösewicht auch so schon ihr komplettes OS-Nutzerkonto kompromittieren.“

Mit einer zusätzlichen Sicherheitsmaßnahme würde man die Nutzer also nur in falschen Sicherheitsannahmen wiegen, sagt Schuh. Er steht damit nicht allein. Andere weisen darauf hin, dass ja genug Add-ons mit Masterpasswort verfügbar seien. Google müsse den Anwendern kein solches System aufdrängen.

Doch auch Kritiker Kember hat namhafte Unterstützung erhalten, unter anderem durch Web-Erfinder Tim Berners-Lee, der Googles Antwort „enttäuschend“ nennt. Die Google-Kritiker skizzieren mehrere Szenarien, in denen es Diebe allzu leicht haben – etwa wenn sich unter den Arbeitskollegen ein schwarzes Schaf befindet, ein Dienstleister im Büro unterwegs ist oder Informationsdiebe in der Flughafenlounge nur Ausschau nach laufenden Notebooks halten müssen.

Sicherheitsexperte Graham Cluley argumentiert dagegen vergleichsweise nüchtern, indem er auf Firefox verweist. Im Mozilla-Browser könne man freiwillig ein Passwort vergeben, um den Zugriff auf die Passwort-Sammlung zu sperren. „Es ist schwer zu verstehen, wieso Google diesen zusätzlichen Schutz nicht bietet, wenn andere Browserhersteller es tun.“

[mit Material von Tom Brewster, TechWeekEurope.co.uk]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

Florian Kalenda

Seit dem Palm Vx mit Klapp-Tastatur war Florian mit keinem elektronischen Gerät mehr vollkommen zufrieden. Er nutzt derzeit privat Android, Blackberry, iOS, Ubuntu und Windows 7. Die Themen Internetpolitik und China interessieren ihn besonders.

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

3 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

6 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

6 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

9 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

10 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

10 Stunden ago