Zurück

Wie schütze ich mich vor Passwortklau?

21.09.2013 22:14 von Samuel

Erklärung

Fast jeder neue Trojaner kann heutzutage die Passwörter von allen gängigen Webbrowsern auslesen. Egal ob Internet Explorer, Mozilla Firefox, Safari oder Chrome. Es gibt auch sogenannte “Passwort-Stealer” die es nur auf die Passwörter abgesehen haben. Sie installieren sich im normalfall nicht und greifen im Hintergrund die Passwörter ab. Die Passwörter werden dannach via HTTP an eine Website geschickt wo der Angreifer diese in einer Datenbank speichert. Ältere Passwort-Stealer funktionieren auch über das relativ unsichere FTP-Protokoll. Der Nachteil hierbei ist, dass die Verbindungsdaten zum Server für die FTP Anmeldug auch im Programm stehen und diese kann man mit einem einfachen Sniffer wie Wireshark auslesen.

Internet Explorer

Der Internet Explorer war mit dem Speichern von Passwörtern bis Version 8 nicht wirklich eine Herausforderung für Trojaner und anderer Malware. Seit der Version 9 hat der Internet Explorer seine Art die Passwörter zu speichern, um einiges verbessert. Lange Zeit war eine Entschlüsselung noch nicht möglich. Jedoch wurde auch der Internet Explorer 9 durchschaut wie und wo er genau die Passwörter speichert. Bis Version 8 speicherte der Internet Explorer die Passwörter verschlüsselt in der Registry ab. Seit Version 9 speichert er diese in einem sogenannten “Credentials File”.

Auf dem “Nirsoft-Blog” von Nir Sofer wurde ein Artikel darüber geschrieben, wie der Internet Explorer die Passwörter speichert.

Google Chrome

Der Chrome Browser von Google hat in Security-Blogs nicht wirklich gut abgeschlossen. Das liegt unter anderem daran, dass der Chrome Browser keine Möglichkeit anbietet, ein Master-Passwort zu setzen. Die Art der Verschlüsselung in Chrome ist nicht gut genug um eine solche Funktion nicht zu implementieren. Die Passwörter werden in einer SQLite Datenbank gespeichert. Der genaue Pfad ist “%APPDATA%\..\Local\Google\Chrome\User Data\Default\Login Data”. Für Malware ist es ein Kinderspiel, diese Logins zu entschlüsseln

Mozilla Firefox

Der Browser von Mozilla benutzt ebenfalls (wie Google Chrome) eine SQLite Datenbank um die Passwörter zu speichern. Es stellt sich daher auch kein Problem dar, diese wieder zu entschlüsseln. Die Datenbank befindet sich unter dem Pfad “%APPDATA%/Mozilla/Firefox/Profiles/[random_profile]” und ist als “signons.sqlite” abgespeichert.

Welcher Browser bietet der beste Schutz vor Passwortdiebstahl?

Ich habe nun gezeigt, dass es möglich ist, bei allen bekannten Browsern die Passwörter auszulesen. Aber welchen sollte man nun nutzen wenn alle unsicher sind? Die Antwort ist hier relativ einfach. Grundsätzlich muss man sich das so vorstellen, dass ein Browser jedes verschlüsselt gespeicherte Passwort auch wieder entschlüsseln muss. In irgend einer DLL des Browsers wird wohl (falls es eine eigene Verschlüsselung ist), eine Decrypt-Funktion sein welche der Browser beim entschlüsseln aufruft. Jede Malware kann sich nun diese Funktion aus der DLL laden und selber benutzen. Bei einigen Browsern (auch Firefox) ist der Quellcode frei verfügbar (Open Source), welches das Ganze noch sehr erleichtert für den Angreifer. Jedoch bietet Firefox als einziger Browser unter den bekanntesten, die Funktion an, die Passwörter nochmal zusätzlich mit einem Master-Passwort zu verschlüsseln. Damit werden die bereits verschlüsselten Passwörter nochmals verschlüsselt und erst bei der Eingabe des Master-Passworts entschlüsselt. Die Passwörter könen daher nur mit einer sogenannten Brute-Force Attacke geknackt werden.

Wie richte ich ein Master-Passwort ein bei Firefox?

Wir öffnen den Firefox und klicken dann oben links auf “Firefox“. Dannach auf den Tab “Sicherheit“. Dann auf “Master-Passwort verwenden“. Nun kann man ein Master-Passwort wählen. Da es mit Brute-Force geknackt werden kann, sollte man kein 3-stelliges Passwort wählen.

Wem dieses Master-Passwort nicht sicher genug erscheint, hat auch die Möglichkeit, gar keine Passwörter zu speichern. Dazu gehen wir auf “Firefox” -> “Sicherheit” -> und entfernen bei “Passwörter speichern” den Haken.

Fazit

Kein Webbrowser ist vor Passwortdiebstahl perfekt geschützt bis auf Firefox. Vorübergehend bietet Firefox eine gute Sicherheit mit dem Master-Passwort. Vielleicht ist es eine Frage der Zeit bis auch das Master-Passwort ohne Brute-Force Attacke ausgelsen werden kann. Wer auf Nummer sicher gehen will, sollte am Besten keine Passwörter im Webbrowser speichern und auf Passwort-Safes wie KeePass oder LastPass zurückgreifen.

Zurück

Einen Kommentar schreiben