Gibt ja in letzter Zeit immer wieder Meldungen, dass „tonnenweise“ Benutzernamen und Passwörter in die Öffentlichkeit gelngt sind. Oder zum Verkauf angeboten wurden. Google hat nun eine Erweiterung „Password Checkup“ im Chrome Store bereitgestellt, die deine Passwörter beim Surfen überprüft.
Dies kann auch auch auf mehreren Geräten eingesetzt und synchronisiert werden. „Wann immer Sie sich bei einer Website anmelden, löst die Passwort-Kontrolle eine Warnung aus, wenn der von Ihnen verwendete Benutzername und das Passwort einer von über 4 Milliarden Anmeldeinformationen ist, von denen Google weiß, dass sie unsicher sind.“
Die Erweiterung wurde in Zusammenarbeit mit Kryptographieexperten der Stanford University entwickelt. Damit wurde sichergestellt, dass Google keinen Zugang zu den kontrollierten Benutzernamen oder Passwörtern bekommt. Ist natürlich wichtig, denn was nutzt es das Passwort geprüft wird, aber bei Google gespeichert wurde. Das ist nun nicht der Fall.
Ein Auszug aus dem Blogpost von Google:
"Wir haben die Passwort-Kontrolle so konzipiert, dass sie Sie nur dann benachrichtigt, wenn alle für den Zugriff auf Ihr Konto notwendigen Informationen in die Hände eines Angreifers geraten sind. Wir werden Sie nicht über veraltete Passwörter, die Sie bereits zurückgesetzt haben, oder nur über schwache Passwörter wie „123456“ belästigen. Wir erzeugen nur dann eine Benachrichtigung, wenn sowohl Ihr aktueller Benutzername als auch Ihr aktuelles Passwort in einer Verletzung erscheinen, da dies das größte Risiko darstellt."
Alle weiteren Informationen dazu könnt ihr hier nachlesen: security.googleblog/protect-your-accounts-from-data. Die Erweiterung lässt sich natürlich auch in den Chromium Browsern, wie Vivaldi installieren.
Das ist aber höchst bedenklich, dass Google nunmehr schon meine gesamten Passwörter vergleichen möchte! Ich warne aufs Eindringlichste vor diesem Schnickschnack. Es gibt genügend Websites, die eine solche Überprüfung bei den von mir eingegebenen Parametern vornehmen. Also Vorsicht bei der Installation einer solchen Erweiterung. Wer weiß, was sie sonst noch so kann …
Und den Webseiten vertraust du?
Nein, sie sind aber das kleinere Übel, weil ich bestimme, was ich preisgebe. Google grast mit diesem Rasenmäher alle meine Passwort Informationen ab.
Den Beitrag hast du aber schon gelesen, oder?
Doch, habe ich moinmoin. Nur folgendes glaube ich keinesfalls (ich zitiere deinen Artikel):
„Die Erweiterung wurde in Zusammenarbeit mit Kryptographieexperten der Stanford University entwickelt. Damit wurde sichergestellt, dass Google keinen Zugang zu den kontrollierten Benutzernamen oder Passwörtern bekommt. Ist natürlich wichtig, denn was nutzt es das Passwort geprüft wird, aber bei Google gespeichert wurde. Das ist nun nicht der Fall.“
Vorsicht ist die Mutter der Porzellankiste. Ich neige dazu, Google von vornherein nicht zu vertrauen. Wir haben schon zu viel erlebt.
Egal was Google macht, es wird immer geheult auch wenn man den Bericht hier nicht gelesen hat (wo drinne steht das Google kein Zugang hat [man kann sogar den Cache leeren was ich bei vielen Erweiterungen vermisse). Die Idee ist nicht schlecht und besser als Webseiten, da diese leichter kompromitiert werden können, oder der Nutzer in Seiten rennen können die „fake“ sind (siehe e.g. fake Adobe Installer Seiten etc).
Ich denke die Datenbank und der Source sollte offen gelegt werden, das ist aber das Einzige was man bemängeln könnte.
Ich stimme Peter da größtenteils zu.
Die Erweiterung finde ich im Prinzip OK, da ich tatsächlich für jeden Account einen eigenen eMail-Alias eingerichtet habe und dazu dann natürlich jeweils ein eigenes Passwort, was nur dort benutzt wird.
Da ist in knapp 30 Jahren natürlich eine stattliche Liste entstanden.
Mein Passwortmanager zählt alleine derzeit 209 Einträge dazu, aber es sind weitaus mehr.
Das die Extension die eMail-Adresse/den Benutzernamen checkt finde ich GUT, da ich sonst alle einzeln manuell checken müsste, um > 209 eMails zu bekommen, das dieser Eintrag – hoffentlich – nicht in der Liste ist. – Checken, ob über eMails einzelner persönlicher Domains enthalten sind, geht ja nicht, und auf entsprechende Anfragen bekommt man keine Antwort.
****
Zusatzinfo: Ich nutze mehrere persönliche Domains für die Mail-Aliase, die aber in geheime Postfächer umgeleitet werden, sodass diese nicht direkt angeschrieben werden. Dadurch erkenne ich sofort kompromitierte eMail-Adresse und über welchen Account die reinkommen – häufiger bei eBay z.B. wenn die Verkäufer aus USA oder China nervende Werbemails senden – die eMail-Adresse wird dann bei eBay ausgetauscht.
****
Jedenfalls ist es GUT, wenn die Extension die eMail/den Benutzernamen prüft. Bei negativem Ergebnis, also Kompromitierung derer, sollte nur OPTIONAL das Passwort geprüft werden können.
Ändern würde ich aber sofort nicht nur das Passwort sondern auch eMail-Adresse/Benutzername.
.
Also nachdem ich den Beitrag gelesen habe möchte ich auch nur Warnen. Das bedeutet Google hat sich die 90 GB Datenbank bereits gesichert und hat da was gebastelt. Die Seite https://haveibeenpwned.com/
prüft das Passwort nach Hashwert… wahrscheinlich macht es Google nicht anders – nur mit dem Unterschied dass hier auch die Firma eine KI besitzt die gefüttert werden möchte.
Sicher gaugelt einem diese Extension etwas Sicherheit vor aber ich kann nur warnen – es gab in letzter Zeit genug Meldungen von tollen nützlichen und zu tausenfach empfohlenen Plugins die Daten abgrasen. Da bin ich ganz beim Peter Kalman.
@Chef-Koch die Datenbank ist offen – kannst du auf der Seite dort runterladen
wissenswert hierzu noch : https://www.troyhunt.com/the-773-million-record-collection-1-data-reach/
Ich glaube das sagt alles zu der Erweiterung.
https://www.kuketz-blog.de/chrome-add-on-password-checkup-uebermittelt-domainname/
Volltreffer jacz! Bei Google rieche ich so etwas förmlich. Da wird nichts gemacht, womit sich nicht Geld verdienen lässt. Google ist halt nicht eine soziale Einrichtung sondern ein knallharter Konzern, der nur auf Gewinnmaximierung aus ist.
Moinmoin, ist das nicht auch einen Artikel wert?