Chrome-Erweiterung Password Checkup

Nachdem in den letzten Tagen große Passwortsammlungen im Netz auftauchten (siehe Neue Passwort Collections mit 2,2 Milliarden Konten im Netz), greift Google dies auf und bietet eine Erweiterung an, die geleakte Kennwörter anzeigt.


Anzeige

Im Google Security Blog kündigte Google im Beitrag Protect your accounts from data breaches with Password Checkup eine Lösung an. Google unterstützt die Nutzer sich vor dem Hack von Online-Konten zu schützen. Dazu wird die neue Erweiterung Password Checkup Chrome bereitgestellt.

Die Chrome-Erweiterung

Wenn sich ein Nutzer bei einer Website anmeldet, löst die Passwort-Kontrolle eine Warnung aus, falls der von verwendete Benutzername und das Passwort in einer der über 4 Milliarden Anmeldeinformationen enthalten ist, und Google weiß, dass die Anmeldedaten unsicher sind.

Warnungen
(Quelle: Google)

Die Erweiterung Password Checkup wurde in Zusammenarbeit mit Kryptographieexperten der Stanford University entwickelt. Dies soll sicherstellen, dass Google nie den Benutzernamen oder das Passwort erfährt und dass alle Daten, selbst bei Sicherheitsverstößen vor einer größeren Verbreitung geschützt sind. Die technischen Details der Implementierung sind hier beschrieben. Die Erweiterung wird zudem hier beschrieben und lässt sich hier zur Installation auswählen.

Hat Google gepatzt?

Auch wenn Google die Zusammenarbeit mit Kryptographieexperten der Stanford University hervorhebt, gibt es einen Punkt, der Stirnrunzeln verursacht. Wie ich hier lese, hat sich Mike Kuketz die Details der Erweiterung angesehen. Kuketz ist dabei aufgefallen, dass die Chrome-Erweiterung die Domain, an der sich der Benutzer anmelden möchte, im Klartext an Google überträgt.

:method: POST
:authority: us-central1-password-api-prod.cloudfunctions.net
:scheme: https
:path: /logEvents
content-length: 94
origin: null
user-agent: Mozilla/5.0 (X11; Linux x86_64) 
AppleWebKit/537.36 (KHTML, like Gecko) 
Chrome/70.0.3538.67 Safari/537.36
content-type: application/json
accept: */*
accept-encoding: gzip, deflate, br
accept-language: en-US,en;q=0.9,und;q=0.8

[[[null,"login.web.de",true,[31848.799999999814,
637.9999999990687,36732.100000001024]]],[],[]]

Ich habe diesen Wert in obigem Beispiel hervorgehoben. Keine Ahnung, was Google damit bezweckt – aber schön ist das nicht. Sobald in der URL für das Login spezielle Informationen stecken, könnte der hinsichtlich Kennwort und Name anonyme Benutzer doch wieder enttarnt werden. Aber möglicherweise habe ich was übersehen.


Anzeige
Dieser Beitrag wurde unter Google Chrome, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Responses to Chrome-Erweiterung Password Checkup

  1. infinity sagt:

    Was Mike Kuketz da von sich gibt, ist total reisserisch ganz nach dem Motto: Ich schreie auf, weil clickbait geil ist… Hauptsache nicht nachdenken.

    Google selbst schreibt in seiner Erklärung, dass die Domain übertragen wird (siehe letzter Satz des Zitats):

    „Password Checkup was built with privacy in mind. It never reports any identifying information about your accounts, passwords, or device. We do report anonymous information about the number of lookups that surface an unsafe credential, whether an alert leads to a password change, and the domain involved for improving site coverage.“

    Ansonsten;
    Google schreibt doch in deren Mitteilung, dass username usw. verschlüsselt übertragen werden, was ja auch bewiesen ist. Die anderen Punkte und auch die Website kann man doch auch korrekt als anonyme metadaten ansehen, also auch kein Widerspruch.

    Ich finde es auch durchaus nützlich, dass Google diese Daten erhebt. Wenn nämlich bei diesem Check bspw. Yahoo mehrmals durch dieses Tool als Quelle heraussticht, kann man damit ggf. daraus schließen, dass die Seite kompromittiert wurde und dadurch kann man Maßnahmen und Warnungen an alle Yahoo Nutzer abschicken. Auf diese Weise können solche hacks wie bei Yahoo nicht jahrelang geheimgehalten und vertuscht werden, wie es in der Vergangenheit geschehen ist.

    Wenn Google also auch die Domain verschlüsseln und mit den Zugangsdaten in den Safe packen würde, könnte Google genau diese hilfreiche Information nicht entschlüsseln. Denn wenn sie das könnten, hätten sie auch automatisch mein passwort und alles entschlüsselt.

    Ich finde es daher erklärbar und sogar sehr sinnvoll die Domain zu erfassen und auszuwerten. Das geschieht ja offenbar unabhängig von den Zugangsdaten (daher auch anonym).

    Bitte kurz die Kommentare auch hier lesen, da wird das noch mal differenzierter von den Usern “Martin” und “CHEF-KOCH” erläutert
    https://www.deskmodder.de/blog/2019/02/06/password-checkup-google-uebermittelt-doch-nicht-alles-verschluesselt/#comments

  2. Alfred Neumann sagt:

    Ähnliches wird auch als PlugIn für Keepass angeboten.
    Auch in einer Offline Version. So muss man zwar (einmalig) eine 10 GB Datei runterladen, muss im Gegenzug aber seine Passwörter keinem anderen senden ;-)

    HIBPOfflineCheck : https://keepass.info/plugins.html#hibpoff

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.