derwowusste
Goto Top

Chrome 79 übermittelt eingegebene Kennwörter nach Hause

https://www.heise.de/security/meldung/Chrome-79-Warnung-vor-geleakten-Pa ...

Ab sofort warnt Chrome standardmäßig Nutzer davor, wenn aus Leaks bekannte Passwörter zum Einsatz kommen. Beim Besuch einer Website, bei der man sich einloggt, prüft Google die Zugangsdaten und gibt gegebenenfalls eine Warnmeldung zurück, wenn ein verbranntes Passwort zum Einsatz kommt. Die Übermittlung der Kennwörter soll verschlüsselt erfolgen, sodass Google diese nicht einsehen kann, versichert das Unternehmen. Dieses Feature gibt es optional schon seit Chrome 78 beziehungsweise über das Addon "Password Checkup" – nun ist die Passwortüberprüfung standardmäßig aktiviert.

Es soll ja bei aller Liebe zu Google Leute geben, die das nicht wollen. Um das in der Domäne zu unterbinden, muss man die aktuellen administrativen Templates runterladen: https://dl.google.com/dl/edgedl/chrome/policy/policy_templates.zip , einpflegen und Folgendes setzen (pro Maschine oder pro Nutzer):
capture

Manuell: https://pureinfotech.com/enable-password-leak-detection-google-chrome/ / siehe auch: https://cloud.google.com/docs/chrome-enterprise/policies/?policy=Passwor ...

Content-Key: 524715

Url: https://administrator.de/contentid/524715

Printed on: June 22, 2024 at 22:06 o'clock

Member: Spirit-of-Eli
Spirit-of-Eli Dec 12, 2019 at 13:58:15 (UTC)
Goto Top
Moin,

wird nicht eh nur ein Hash übermittelt?

Gruß
Spirit
Member: DerWoWusste
DerWoWusste Dec 12, 2019, updated at Dec 28, 2019 at 15:49:52 (UTC)
Goto Top
Da musst Du Google fragen. Wenn man denen nicht traut, sollte man eh nicht deren Browser nutzen... aber für den Fall, dass es jemand braucht, hab ich's mal aufgeschrieben.
Member: Spirit-of-Eli
Spirit-of-Eli Dec 12, 2019 at 14:22:22 (UTC)
Goto Top
Mich würde mal interessieren wie das bei anderen Browsern aussieht, welche Chromium als Unterbau nutzen.
Mitglied: 142232
142232 Dec 12, 2019 updated at 14:26:52 (UTC)
Goto Top
Zitat von @Spirit-of-Eli:
wird nicht eh nur ein Hash übermittelt?
Ja, Chrome sendet ein 3-Byte SHA256 Prefix des Usernamens an die Google Server (Performance-Optimierung) und vergleicht diesen mit Hashes der kompromittierten Usernamen, wird der Hash gefunden passiert der Passwortabgleich über dieses Ergebnis ebenfalls über einen Hash von Username und Passwort.
Member: aqui
aqui Dec 12, 2019 at 16:20:18 (UTC)
Goto Top
wird nicht eh nur ein Hash übermittelt?
Das überhaupt etwas übermittelt wird ist schon Besorgnis erregend, egal welches Format.
Da bleibt man dann doch besser bei Firefox !!
Member: Spirit-of-Eli
Spirit-of-Eli Dec 12, 2019 at 16:31:43 (UTC)
Goto Top
Wo dann wiederum DoH abgeschaltet werden muss. Was bald bei allen Browsern kommt.
Member: Dilbert-MD
Dilbert-MD Dec 12, 2019 at 16:38:36 (UTC)
Goto Top
Zitat von @aqui:

wird nicht eh nur ein Hash übermittelt?
Das überhaupt etwas übermittelt wird ist schon Besorgnis erregend, egal welches Format.
Da bleibt man dann doch besser bei Firefox !!

Dient alles der Verbesserung des Benutzerlebnisses .... face-wink
(Sagt ja auch Microsoft)


Demnächst wird es noch bequemer:
"Lieber Herr Kundenname, das von Ihnen gewählte Passwort für Ihre Einkäufe bei Reicht verwendet schon Ihre Frau bei Zalando, bei Amazon und bei A. Wir empfehlen Ihnen, dieses Passwort nicht öfter als 3x zu verwenden. Auf Basis Ihres Surfverhaltens schlagen wir Ihnen folgendes Passwort vor: •••••••
Mitglied: 117471
117471 Dec 12, 2019 at 17:59:39 (UTC)
Goto Top
Hallo,

im Zweifelsfall wird der gesamte Inhalt der Festplatte übermittelt.

Gruß,
Jörg
Mitglied: 142232
142232 Dec 12, 2019 updated at 21:27:31 (UTC)
Goto Top
Wer Passwörter im Browser speichert hat es eben nicht anders verdient ...
Member: aqui
aqui Dec 12, 2019 at 21:32:12 (UTC)
Goto Top
Na ja es gibt schon welche die damit einigermaßen sicher umgehen können wie Safari oder Firefox. Ob man da dann auch sein Banking Passwort speichert muss dann jeder selber entscheiden.
Allerdings bei Google ist das mehr als dreist gerade vor deren Slogan Don't be evil. Aber davon sind sie ja meilenweit weg mittlerweile. Es wird immer dreister ausgelotet wie weit man gehen kann...
Member: UweGri
UweGri Dec 12, 2019 updated at 22:05:13 (UTC)
Goto Top
chrome://flags/#password-leak-detection

Auf "nicht erlaubt" und Ruhe sollte sein …

Oder irre ich mich da?

Was da wer "versichert" ist mir so was von egal, ich gehe IMMER davon aus, dass das, was möglich ist, auch umgesetzt wird …

Bei DrW hat sogar mal einer empfohlen, BL Passwörter in der MS Cloud zu speichern … bin fast vom PC gekippt …
Member: Windows10Gegner
Windows10Gegner Dec 13, 2019 at 16:27:51 (UTC)
Goto Top
Es soll einige ohne geben, z.B. Pale Moon.

Ich würde generell von Mozilla und Google die Finger lassen, die bauen immer mehr Mist in dieser Richtung.
Member: Spirit-of-Eli
Spirit-of-Eli Dec 13, 2019 at 17:06:31 (UTC)
Goto Top
Wer bleibt denn dann noch? MS?
Member: Windows10Gegner
Windows10Gegner Dec 13, 2019 at 18:15:36 (UTC)
Goto Top
Hab ich doch oben geschrieben, ich bin mit Pale Moon ganz zufrieden.
Bei MS sitzt der Spion eh im Windows.
Member: Spirit-of-Eli
Spirit-of-Eli Dec 13, 2019 at 18:20:02 (UTC)
Goto Top
Muss ich echt mal testen.
Member: GNULinux
GNULinux Dec 15, 2019 at 17:06:09 (UTC)
Goto Top
Unter anderem aus solchen Gründen nutze ich prinzipiell nur noch Firefox. Google melkt nicht mehr nur die Daten der User, die sich mehr oder weniger bewusst dafür entscheiden oder denen das egal ist. Sondern sie versuchen, allen User immer noch mehr zu überwachen und testen, wie weit sie gehen können.

Jüngste Beispiele:

https://www.heise.de/newsticker/meldung/Google-Chrome-Browser-scannt-lok ...
https://www.zdnet.de/88342961/google-meldet-nutzer-automatisch-bei-chrom ...

Dass sie nun auch die PWs haben wollen, passt perfekt. Ich gebe zu, früher auch zu wenig darüber nachgedacht und Google Chrome zumindest offline (ohne Google Konto) genutzt zu haben. Damals war Firefox langsam und Chrome deutlich schneller. Heute graust es mir bei dem Gedanke.

Wer das wirklich nicht will, der sollte auch schleunigst den Browser wechseln. Denn seien wir mal ehrlich: Greift die GPO wirklich? Wie lange noch? Was kommt als nächstes? Google wird seine Macht weiter ausbauen, alles eine Frage der Zeit. Chrome ist hinsichtlich Privatsphäre ein Albtraum und durch die Nutzung fördert man eine Monokultur der Browser, wie es sie damals mit dem IE schon mal gab.