Chrome 79 integriert Überprüfung von Passwörtern

Chrome 79 enthält Sicherheits- und Fehlerbehebungen, aber auch neue Funktionen wie die integrierte Unterstützung für das Password Checkup-Tool, Echtzeit-Blacklisting bösartiger Websites über die Safe Browsing API, allgemeine Verfügbarkeit von Predicitive Phishing-Schutzmaßnahmen, ein Verbot des Ladens von HTTPS „mixed content“, Unterstützung für das Einfrieren von Tabs, eine neue Benutzeroberfläche für den Profilbereich von Chrome Sync und Unterstützung für einen Backward-Caching-Mechanismus.

Eingebautes Passwortüberprüfungs-Tool

Password Checkup ist ein Online-Dienst, über den Google alle in Chrome synchronisierten Passwörter abspeichert und überprüft, um festzustellen, ob diese komprommitiert sind. Bislang war die Passwort-Überprüfung nur als separate Chrome-Erweiterung oder als Abschnitt im Google Web-Dashboard verfügbar. Mit der Vorstellung von Chrome 79 hat Google das Dienstprogramm in Chrome selbst integriert. Um es nutzen zu können, müssen Chrome-Benutzer in ihrem Google-Konto in Chrome angemeldet sein. Außerdem wird es gerade erst ausgeliefert, sodass es noch ein paar Tage dauern kann, bis alle Chrome-Anwender das Feature nutzen können.

Sobald diese Funktion aktiviert ist, überprüft Chrome die vom Nutzer abgespeicherten Passwörtern, ob diese komprommitiert wurden. Ist das der Fall, fordert Chrome den Anwender auf, die betroffenen Passwörter zu ändern. In einem Blogbeitrag schreibt Google folgendes zum Verfahren:

• Wann immer Google einen Nutzernamen und ein Passwort entdeckt, die durch die Datenschutzverletzung eines anderen Unternehmens gefährdet sind, speichern wir eine stark gehashte und verschlüsselte Kopie der Daten auf unseren Servern mit einem nur Google bekannten geheimen Schlüssel.
• Wenn Sie sich auf einer Website anmelden, sendet Chrome eine stark gehashte Kopie ihres Benutzernamens und Passworts an Google, die mit einem geheimen Schlüssel verschlüsselt ist, der nur Chrome bekannt ist. Niemand, einschließlich Google, ist in der Lage, ihren Benutzernamen oder ihr Passwort aus dieser verschlüsselten Kopie abzuleiten.
• Um festzustellen, ob ihr Benutzername und ihr Passwort komrommitiert wurden, verwenden wir eine Technik, die als „Private set intersection with blinding“ Blendung bezeichnet wird und mehrere Verschlüsselungsschichten umfasst. Dies ermöglicht es uns, ihren verschlüsselten Benutzernamen und ihr Passwort mit allen verschlüsselten, komprimmitierten Zugangsdaten zu vergleichen, ohne ihren Benutzernamen und ihr Passwort preiszugeben oder Informationen über die Benutzernamen und Passwörter anderer Benutzer preiszugeben. Um diese Berechnung effizienter zu gestalten, sendet Chrome ein 3-Byte SHA256-Hash-Präfix ihres Benutzernamens, um die Größe der verbundenen Daten von 4 Milliarden Datensätzen aus 250 Datensätzen zu reduzieren und gleichzeitig sicherzustellen, dass ihr Benutzername anonym bleibt.
• Nur Sie stellen fest, ob ihr Benutzername und ihr Passwort gefährdet sind. Wenn sie kompromittiert wurden, empfehlen wir ihnen dringend, ihr Passwort zu ändern.

Echtzeit-Blacklisting von gefährlichen Websites

Seit Jahren verfügt Chrome über eine Sicherheitseinstellung, die als Safe Browsing API bekannt ist. Damit lädt Chrome alle 30 Minuten eine Liste bekannter gefährlicher Websites herunter. Wenn ein Benutzer eine Website besucht, überprüft Chrome die URL anhand dieser Liste, die lokal in allen Browsern der Benutzer gespeichert ist.

Google sagt jedoch, dass die Bedrohungsakteure in den letzten Monaten schneller die Standorte und Domänen gewechselt haben und diese 30-minütige Verzögerung ausgenutzt haben. Mit der Veröffentlichung von Chrome 79 wird es Benutzern über den Abschnitt „Synchronisierung und Google-Dienste“ ermöglicht, eine Echtzeit-Überprüfung gefährlicher Websites durchzuführen. Über die Option „Safe Browsing (mich und mein Gerät vor schädlichen Websites schützen)“ schaltet man den grundsätzlichen Schutzmechnismus ein. Mit „Suchanfragen und das Surfen verbessern“ gibt man Chrome die Berechtigung, URLs an die Safe Browsing-Server zu senden. Wenn beide Optionen aktivieren sind, ist die Echtzeit-Überprüfung gefährlicher Webseiten aktiviert.

Mit Chrome 79 wird auch die die HTTPS-Unterstützung erweitert, sodass „gemischte Inhalte“ auf HTTPS-Seiten blockiert werden.

Predictive Phishing für jedermann

Ein weiteres nützliches Sicherheitsmerkmal von Chrome 79 ist die allgemeine Verfügbarkeit von Predictive Phishing. Predictive Phishing wurde 2017 eingeführt und warnt die Benutzer, wenn sie möglicherweise Passwörter auf vermuteten Phishing-Websites eingeben.

Ursprünglich unterstützte die Funktion nur die Erkennung von Phishing-Sites bei der Eingabe von Google-Konto-Anmeldeinformationen und nur, wenn Benutzer die Synchronisierungsfunktion in Chrome verwendeten. Mit Chrome 79 sind Predictive Phishing-Warnungen für alle Benutzernamen und Passwörter verfügbar, die in der Passwortdatenbank von Chrome gespeichert sind, auch wenn der Benutzer die Funktion Synchronisieren verwendet oder nicht. Google erwartet aufgrund eigener Analysen, dass die Funktion „Hunderte von Millionen weiterer Nutzer vor schlechten Akteuren im Web schützen wird.“

Ressourcenverbrauch eindämmen: Tab freeze

Um den Ressourcenverbrauch von Chrome zu minimieren, steht unter chrome://flags/#proactive-tab-freeze die eine neue Option Tab freeze zur Verfügung. Standardmäßig ist die Funktion allerdings nicht aktiv. Sobald sie eingeschaltet ist, entlädt Chrome Tabs, die länger als fünf Minuten inaktiv waren. Dadurch werden CPU- und RAM-Systemressourcen für andere Registerkarten oder andere lokal laufende Anwendungen freigegeben.

Eine zusätzliche Einstellmöglichkeit erlaubt, dass eingefrorene Tabs alle 15 Minuten für 10 Sekunden freigegeben werden, damit sie im Hintergrund beispielsweise ihre Inhalte aktualisieren können. Das erlaubt es Web-Anwendungen wie E-Mail und Messenger, Nutzer über neue Nachrichten zu informieren.

Eine ähnliche Funktion hatte Google bereits im Jahr 2015 eingeführt. Tab Discard wird allerdings erst aktiv, wenn der verfügbare Arbeitsspeicher insgesamt knapp wird.

Der geringere Speicherverbrauch durch Tab freeze hat aber auch einen Nachteil. Ein eingefrorener Tab muss, sobald er aufgerufen wird, komplett neu geladen werden. Ein schneller Wechsel zwischen Tabs ist also nicht mehr möglich. Zudem müssen sich Nutzer im klaren sein, dass sie je nach gewählter Option keine Benachrichtigungen von eingefrorenen Tabs erhalten. Profitieren sollten von der Funktion vor allem Systeme mit wenig Hauptspeicher.