Google Chrome wegen Passwort-Speicherung in der Kritik

Anja Schmoll-Trautmann,

Jeder kann sich am laufenden Rechner gespeicherte Passwörter im Klartext anzeigen lassen. Eine Sicherheitsabfrage mit Masterpasswort gibt es nicht. Laut Google ist dies Absicht.

Um in Chrome gespeicherte Passwörter zu sehen, muss man nur chrome://settings/passwords besuchen – oder die Einstellungen aufrufen und dort “Passwörter” sowie anschließend “gespeicherte Passwörter” anklicken. Die Passwörter werden nun zunächst maskiert gezeigt, können aber einzeln per Klick in Klartext verwandelt werden. Es gibt keinerlei Sicherheitsmaßnahmen – nicht einmal ein optionales Masterpasswort.

Google hat für den Umgang mit Passwörtern in seinem Browser Chrome deshalb deutliche Kritik einstecken müssen. Das kontrovers diskutierte Problem besteht darin, dass jeder eingeloggte Nutzer die in Chrome gespeicherten Passwörter einsehen kann. Wer also Zugang zu einem laufenden Rechner bekommt, kann sich die Online-Passwörter des Nutzers anzeigen lassen. Google hat sich für dieses Vorgehen allerdings bewusst entschieden und rechtfertigt es.

Google Chrome zeigt alle gespeicherten Passwörter auf einen Klick hin als Klartext an (Screenshot: ZDNet)
Google Chrome zeigt alle gespeicherten Passwörter auf einen Klick hin als Klartext an (Screenshot: ZDNet)

“Google geht nicht offen mit Passwortsicherheit um”, schreibt der Entwickler Elliot Kember, der über das Problem einen Blogbeitrag verfasst hat. Schließlich bewerbe Google seinen Browser auf Youtube oder in Kino-Spots, also für den Massenmarkt. “Die Leute wissen nicht, dass das so funktioniert. Sie erwarten nicht, dass man ihre Passwörter so leicht einsehen kann. Jeden Tag speichern Millionen normale Anwender ihre Passwörter in Chrome. Das ist nicht okay.”

Der Leiter von Googles Chrome-Entwicklung, Justin Schuh, sieht es exakt andersherum. Mit einem anderen Modell würde man Anwendern nur einen falschen Eindruck von Sicherheit geben. “Dann denken die Leute, ihre Passwörter seien geschützt, aber sie sind es nicht. Sie lassen sich immer noch in trivialer Weise wiederherstellen. Und um sie auszulesen, muss ein Bösewicht auch so schon ihr komplettes OS-Nutzerkonto kompromittieren.”

google-chrome-250x187

Mit einer zusätzlichen Sicherheitsmaßnahme würde man die Nutzer also nur in falschen Sicherheitsannahmen wiegen, sagt Schuh. Er steht damit nicht allein. Andere weisen darauf hin, dass ja genug Addons mit Masterpasswort verfügbar seien. Google müsse den Anwendern kein solches System aufdrängen.

Doch auch Kritiker Kember hat namhafte Unterstützung erhalten, unter anderem durch Web-Erfinder Tim Berners-Lee, der Googles Antwort “enttäuschend” nennt. Die Google-Kritiker skizzieren mehrere Szenarien, in denen es Diebe allzu leicht haben – etwa wenn sich unter den Arbeitskollegen ein schwarzes Schaf befindet, ein Dienstleister im Büro unterwegs ist oder Informationsdiebe in der Flughafenlounge nur Ausschau nach laufenden Notebooks halten müssen.

Sicherheitsexperte Graham Cluley argumentiert dagegen vergleichsweise nüchtern, indem er auf Firefox verweist. Im Mozilla-Browser könne man freiwillig ein Passwort vergeben, um den Zugriff auf die Passwort-Sammlung zu sperren. “Es ist schwer zu verstehen, wieso Google diesen zusätzlichen Schutz nicht bietet, wenn andere Browserhersteller es tun.”

[mit Material von Florian Kalenda, ZDNet.de]

Tipp: Wie gut kennen Sie sich mit Browsern aus? Testen Sie Ihr Wissen – mit dem Quiz auf silicon.de.