Sicherheit: Im Browser gespeicherte Passwörter – Wie sicher sind sie wirklich?

Jeder kennt es. Gerade wenn man sich ein frisches Gerät kauft, ob Computer oder Notebook. Beim Smartphone bleibt man manchmal verschont. Egal ob Chrome oder Firefox, Edge oder Opera. So ziemlich jeder Browser hat heutzutage die Funktionalität die Passwörter eines Benutzers zu speichern. Und das ist toll. Wirklich! Ich muss mir kein Passwort mehr merken oder es nicht jedes Mal eintippen sind dabei die Gedanken die man hat. Man ist froh, dass der Browser einem die Arbeit abnimmt. Personen die um ihre Daten besorgt sind kann ich aber, teilweise, beruhigen. Solange man nicht mit einem Firefox Sync oder einem Google oder Opera Konto angemeldet ist, werden Passwörter nicht mit den jeweiligen Servern der Anbieter synchronisiert. Das bedeutet, diese Daten bleiben nur auf dem lokalen Gerät gespeichert. Und das tollste daran ist, sie werden verschlüsselt gespeichert. Damit ist ja alles sicher und unbedenklich, denkt man.

Mal abgesehen von der Tatsache, dass jede Verschlüsselung irgendwann einmal als unsicher gilt und geknackt wird gibt es aber einen vergleichsweise einfachen Umstand den man sich zu Nutze machen kann. Wer diese Frage beantwortet kann sofort wissen ob seine Daten gefährdet sind, theoretisch.

Ist das Benutzerkonto unter Windows, macOS oder Linux mit einem Passwort geschützt?

Wenn ja, ist schon mal eine mögliche Quelle ausgeschaltet das Passwort auszulesen, denn alle Browser bieten auch die Möglichkeit gespeicherte Passwörter anzuzeigen. Das kann sinnvoll sein, wenn man sein Passwort auf einer Seite einmal vergessen hat, oder zum Verhängnis werden, wenn das Benutzerkonto des Betriebssystems nicht mit einem Passwort versehen ist. Grund ist der, dass die Browser die Passwörter nur im Klartext darstellen, wenn man das Passwort des Benutzerkontos eingibt und es korrekt ist. Ein nicht vorhandenes Passwort bedeutet im schlimmsten Fall zum Beispiel unter macOS, dass ich die Abfrage einfach nur mit “OK” bestätigen muss, denn der Benutzer ist vorausgefüllt und es ist ja gar kein Passwort gesetzt, also ein leeres Feld wäre das korrekte Passwort.

Fazit

Egal ob man was zu verbergen hat oder nicht. Ein Benutzerkonto sollte in jedem Fall mit einem Passwort geschützt werden. Natürlich gibt es andere Methoden an die Daten zu kommen, dazu mehr in einem späteren Artikel.