Passwort Manager + Browser Extensions Sicherheit?

Hi Zusammen,

heutzutage haben ja immer mehr Extensions umfangreichen Zugriff auf Browser (u.a. alle Daten, Passwörter, persönliche Daten usw.).

Ein Teil davon sind ja auch Passwort-Manager, welche den Zugriff brauchen. Weiter gibt es aber auch uBlock, AdGuard, privacy Badger usw. welche Zugriff auf alle Daten im Browser haben.

Wie seht Ihr das bzgl. der Sicherheit? Sind dann Passwort Manager wie Bitwarden, 1Password und andere überhaupt sicher genug?
Oder sind in dem Fall Browser-Passwort-Manager oder sogar Betriebssystem-Passwortmanager (wie z.B. bei Apple iCloud Keychain) eher besser, weil noch sicherer und weil sie evtl. verhindern, dass weitere 3rd Party Extensions die Daten abgreifen können?

Gab vor ein paar Jährchen einen tollen Artikel bei KrebsonSecurity:

https://krebsonsecurity.com/2018/09/browser-extensions-are-they-worth-the-risk/comment-page-1/

Meiner Meinung nach hat sich an der Grundhaltung nichts verändert: Je weniger Browser-Extensions, desto besser.

Benutze in einem separaten Browser-Profil drei Extensions; ein Passwortmanager gehört nicht dazu.

MV2-Browser-Extensions haben zuviel Zugriff (einer der Gründe für MV3), sie schwächen Site Isolation und tragen zum Fingerprint bei (nicht alle, aber viele). Deswegen sollte man Extensions meiden oder zumindest minimieren. Für Firefox benötigt man nur uBlock Origin und für Brave gar nichts, dazu ggf noch die Extension des Passwort-Managers.

Wenn du eine bösartige MV2-Extension installiert hast oder diese von bösartigen Webseiten exploited wird, können diese Daten wie ausgefüllte Passwortfelder auslesen. Die meisten Desktop-Programme auf üblichen Linux-Distributionen oder Windows, außer sie laufen in einer sicheren Sandbox, haben übrigens auch Zugriff auf die Daten.

Der bekannte Sicherheitsforscher Tavis Ormandy ist der Meinung, dass PW-Manager die in den Browser integriert sind sicherer sind, als Extensions: https://lock.cmpxchg8b.com/passmgrs.html . Ich halte das Risiko von Passwort-Manager-Extensions für vertretbar und das Problem ist, wenn man mit verschiedenen Betriebssystemen arbeitet man manchmal sowieso keine andere Wahl hat.

Danke für Eure Antworten.

Ja - ich versuche die Extensions auch auf einem Minimum zu Halten.

Die Überlegung dabei ist wirklich den Passwort-Manager bei Apple zu belassen (bei Apple Devices). Evtl. sind dann 3rd Party Extensions besser abgeschirmt, da Apple den Manager ja komplett ins System integriert hat.
Aber ob das jetzt besser ist oder nicht, ist eine gute Frage.

Die Überlegung hatte ich auch schon. Aber der PW-Manager ist glaube ich sicherer, wenn er integriert ist, als wenn man PW mit Copy/Paste in Websites einfügt. Das geht halt nur dann, wenn er auch als Extension eingebunden ist.

Moin,

die Eingangsfrage hat einige Relevanz, denn wie man sie auch beantwortet, es leiten sich daraus ganz entscheidende Sicherheitsmaßnahmen ab. Ich sehe das als Laie bisher so:

Bei der Nutzung eines Passwortmanagers ist es zwingend, dass die ausgefüllten Formulare bzw. die eingegebenen Passwörter durch nichts und niemand mitgelesen oder ausgelesen werden können. Das ist quasi das Urvertrauen des Nutzers in einen PW-Manager.

Es ist dabei auch unerheblich, ob der PW-Manager im Browser oder lokal betrieben wird, ob er sich im Betriebssystem befindet oder extern aufgesetzt wird und um welchen PW-Manager es sich auch immer handeln mag.

In dem Moment, in dem z.B. eine Browsererweiterung oder irgend eine andere Instanz die Passwörter und Zugangsdaten mitlesen könnte, wäre der PW-Manager umgehend obsolet. Es würde sich sofort und zwingend verbieten, einen PW-Manager zu benutzen. Denn das damit einher gehende Sicherheitsrisiko wäre immens.

Es handelt sich ja in der Regel nicht nur um relativ unbedeutende Zugangsdaten (wie z.B. zu Blogs o.ä.), sondern eben auch um höchst sensible Daten für Banken usw.

Ich nutze z.B. Dashlane als PW-Manager, der Gewinn an Komfort und Usability ist enorm. Die hier gestellte Frage wird dort u.a. so beantwortet:

„Keine Dashlane-Mitarbeiter können Ihre Anmeldungen oder persönlichen Daten sehen, aufgrund unseres „Zero-Knowledge“-Sicherheitssystems. Überall dort, wo wir Ihre Anmeldungen oder persönlichen Daten speichern - einschließlich unserer Server - werden Ihre Daten mit dem bestmöglichen Sicherheitssystem verschlüsselt.

Der einzige Weg, die Daten zu sehen, die Sie in Dashlane speichern, besteht darin, sich mit Ihrem Master-Passwort auf einem von Ihnen genehmigten Gerät anzumelden. Wir kennen Ihr Master-Passwort nicht. Nur Sie kennen Ihr Master-Passwort, daher können nur Sie Ihre Daten sehen.
Überall dort, wo wir Ihre Anmeldungen oder persönlichen Informationen speichern, einschließlich unserer Server, werden Ihre Daten mit modernsten Sicherheitssystemen verschlüsselt.”

Natürlich gilt dies in gleicher Weise auch für alle anderen PW-Manager. Dies bedeutet für mich nun bislang folgendes:

Erstens gehe ich (bislang) vollständig davon aus, dass alle (!) Daten bei der Nutzung des PW-Managers umfassend geschützt sind und niemand von außen Zugriff auf die Eingabe der Daten nehmen kann. Egal ob es sich um Extensions, den Browser selbst, Systemkomponenten, Hackerangriffe oder was auch immer handelt.
Und zweitens wurde genau diese Sicherheit von PW-Manager in vielen Test-Reihen nie infrage gestellt.

Kurzum: Wenn schon einfache Browsererweiterungen die ausgefüllten Daten eines PW-Managers mitlesen könnten, wäre die Nutzung eines PW-Managers nicht nur völlig sinnfrei, sondern höchst gefährlich. Und dabei nur auf die Seriosität einer Erweiterung (z.B. ublock origin) zu vertrauen, verbietet sich n.m.M. von selbst.

Pardon für die etwas längeren Ausführungen. Sehe ich dies denn alles falsch?

Also Zugriff auf die Passwörter werden die alle haben, aber wenn denke ich nur auf das, was eben ausgefüllt wurde und nicht auf den kompletten PW Manager. Das wäre schon sehr krass.

Das ist etwas, was Desktop-Betriebssysteme (Windows, Linux-Distributionen) nicht erfüllen, außer du verwendest Windows S-Mode ohne Extensions. Dagegen kann der Passwort-Manager-Hersteller wenig machen und es sagt auch nichts über dessen Sicherheit aus, sondern eher über die schlechte Sicherheit im Desktop-Bereich generell. Hier kannst du dir beispielsweise die Sicherheitsgrenzen ansehen, die Microsoft für Windows „garantiert“: https://www.microsoft.com/en-us/msrc/windows-security-servicing-criteria . Android und iOS können aufgrund ihrer Sicherheitsarchitektur dieses garantieren (siehe z.B. The Android Security Model von Mayrhofer), bei Verwendung von Biometrie sowieso (außer du verwendest Browser mit Extensions unter Android wie Firefox). Auf Windows hat nur Windows Hello diese Garantien (z.B. für Passkeys und biometrische Authentifizierung), bei MacOS kenne ich mich nicht so aus und Desktop-Linux hat kein ähnlich sicheres Äquivalent zu Windows Hello.

Nein ist es nicht, da das manuelle Eingeben genauso vulnerabel ist, aber du zusätzlich auf die Vorteile des PW-Managers verzichtest. Das Desktop-Sicherheitskonzept lässt dich als Nutzer fast alles tun, was du willst und von dieser Freiheit macht die meiste Software auch Gebrauch. Selbst wenn du keinen Passwortmanager verwendest, muss ein Keylogger nur lange genug aktiv sein um alle Passwörter bei Eingabe zu erfassen. Key-Loggen ist sowohl unter Windows als auch Linux bis auf wenige Ausnahmen von fast jedem Programm möglich, das unter deinem Nutzer oder höher privilegiert läuft. Es gibt wenige Ausnahmen. Beispielsweise Prozesse die in einer Sandbox laufen, können normalerweise kein Keylogging betreiben, aber selbst geloggt werden. Windows Hello ist ebenfalls geschützt und ein paar andere Dinge, aber das meiste eben nicht. Es liegt letztlich in deiner Verantwortung nur Software zu installieren, derer du 100% vertraust und dein System gegen Malware abzusichern. Wenn du dir das nicht zutraust bleibt nur die Verwendung von Systemen die alle Apps in eine Sandbox installieren und eine gute Sicherheitsarchitektur haben (ChromeOS, iOS, Android, Windows S-Mode, QubesOS (nur bei richtiger Verwendung)).

Danke für die Erläuterungen. Ich habe mich ganz sicher falsch ausgedrückt.
Es geht mir nicht um eine Festung, die absolut sicher ist. Gibt es ja wahrscheinlich auch gar nicht. Es gab ja in der Vergangenheit auch Lecks in PW-Managern, aber eben nicht durch einfaches Mitlesen, sondern eher durch massive, externe Angriffe.

Es geht mir vielmehr um geläufige Browser-Erweiterungen wie z.B. Adblocker etc. Wenn die schon in das PW-System eindringen können, verstehe ich die Welt nicht mehr.
Denn auf der einen Seite versichern die PW-Manager glaubhaft, dass alles, aber auch alles verschlüsselt und unangreifbar sei. Sogar die Mitarbeiter des PW-Managers haben angeblich keine Chance auf Zugriff.
Und auf der anderen Seite sollen schon „kleine“ Browsererweiterungen die Passwörter mitlesen können?

Für einen einfachen Nutzer wie mich ist das schwer verständlich und irgendwie auch nicht akzeptabel. Bislang ging ich davon aus, dass die Eingaben durch einen PW-Manager in einer Art geschlossenem bzw. verschlüsseltem System stattfinden, so ähnlich wie vielleicht ein VPN. Im Gegensatz zu dem von dir angeführten manuellen Eingeben.

Leider fehlt mir das technische Verständnis, um das alles durchdringen zu können. Wenn ich dich aber richtig verstanden habe, besteht der Unterschied eigentlich nur darin, dass PW-Manager mehr Komfort liefern, nicht aber entscheidend mehr Sicherheit.
Gerade dies aber wird, soweit ich weiß, in den vielen Test- und Prüfberichten nicht
thematisiert oder gar kommuniziert, oder?

Müssen sie gar nicht. Sie können doch einfach die ausgefüllten Felder (Passwörter usw) auslesen.

Willkommen in der Realität. Das ist erst der Anfang der sehr interessanten, aber ebenso frustrierenden Entdeckungsreise in die Sicherheit von Betriebssystemen und Browsern. Es gibt schon einen Grund, warum Google MV2-Browser-Extensions den Kampf angesagt haben und der ist eben nicht nur im Schwächen von Adblockern zu finden, sondern hat auch gute Sicherheitsgründe. Vanadium würde auch keine Extensions nach heutigem Stand zulassen, selbst wenn es die Funktionalität in Chromium gäbe. Am Besten man verzichtet ganz drauf und verwendet einen eingebauten Adblocker wie bei Brave, der ist auch weniger Vulnerabel gegen Exploits als Adblock-Erweiterungen.

Auch mehr Sicherheit, wenn er richtig verwendet wird, nur eben kaum gegen Malware auf deinem Desktop-Gerät. Es gibt ja noch andere Sicherheitsaspekte. Die meisten Sicherheitsexperten empfehlen die Verwendung von Passwortmanagern für den Privatgebrauch, da Passwort-Wiederverwendung und unsichere Passwörter viel größere Gefahren darstellen. Die Zukunft wird hoffentlich größtenteils passwortlos sein.

Wer sagt denn, dass diese Erweiterungen in das PW-System eindringen können???

Woher diese Annahme, auf die deine Angst beruht?

Ich dachte, Google fördert und fordert MV3: https://www.dashlane.com/blog/dashlane-mv3-compatible-extension

Aber danke, Chief, für die vielen Denkanstöße.

Hab mich vertippt, meinte natürlich MV2

Hi, ich habe die Beiträge oben genau so verstanden.

Das ist halt die große Frage, was Erweiterungen so können und was genau nicht? Selbst bei 1Password schreiben sie, dass man nur „vertrauenswürdige“ Erweiterungen empfiehlt. Ansonsten sollte man 1Password als extension nur in einem separaten Browserprofil nutzen - da muss ja was dran sein

Gibt 1Password diese Empfehlung selbst?

Ja. Das tun sie.

NAbend,

ich habe das Thema, insbesondere hinsichtlich der Browsererweiterungen nochmal an Dashlane herangetragen.
Dies ist die Antwort:

"Vielen Dank, dass Sie sich an Dashlane gewandt haben., Mein Name ist Rita und ich werde Ihnen heute helfen!

Ich verstehe Ihre Bedenken bezüglich der Sicherheit der Daten, die Sie bei Dashlane gespeichert haben, und wir möchten Ihnen versichern, dass Ihre sensibelsten Daten bei uns sicher sind.

Ihre Daten werden sicher gespeichert und verschlüsselt, und es ist unmöglich, dass ein böswilliger Akteur, eine Anwendung oder ein Plugin sie direkt von Ihrem Konto aus lesen kann.
;
Als Nutzer sollten Sie jedoch darauf achten, wie Sie Ihre Daten verwenden, wo Sie sie verwenden und wo sie automatisch ausgefüllt werden., Wenn es stimmt, dass sie nicht von Ihrem Dashlane-Konto aus gelesen werden können, können wir Ihnen nicht das Gleiche garantieren, wenn Sie sie auf einer bösartigen Website verwenden, selbst wenn sie automatisch ausgefüllt werden.

Aus diesem Grund haben wir auf allen Plattformen, auf denen Sie Dashlane nutzen können, Phishing-Warnungen eingerichtet., Diese Phishing-Warnungen werden ihr Bestes tun, um Sie darauf hinzuweisen, dass Sie möglicherweise Ihre Daten auf einer unbekannten Website automatisch ausfüllen und Sie an das Risiko erinnern, bevor Sie das automatische Ausfüllen beenden., Wenn Sie sicher sind, dass die Website vertrauenswürdig ist, können Sie fortfahren; andernfalls sollten Sie aufhören und Ihre Daten auf dieser Website nicht verwenden.

Weitere Informationen zu den Phishing-Warnungen von Dashlane finden Sie im folgenden Artikel.

Die Phishing-Warnungen von Dashlane."

Tja, hieraus entnehme ich: wasserdicht.
Gegenteilige Erkenntnisse müssten verifizierbar gemacht werden. Oder?

Also wer sich auf so eine vorgefertige und scheinbar übersetzte Mail verlässt, kann dies gerne tun - sie sagt aber nicht wirklich was zum eigentlichen Thema aus oder?

Ja, du hast Recht, vermutlich eine standardisierte Antwort und nicht sehr befriedigend.
Und auch ja, man muss sich auf die zugesagten Produkteigenschaften des Herstellers verlassen. Das muss man aber in jedem anderen Fall auch.

Wenn ich z.B. ein Auto kaufe, muss ich mich zunächst auf die Sicherheitszusagen des Herstellers verlassen, bei jedem anderen Produkt ebenso.
Und dies gilt solange, wie nicht andere Fakten oder Erkenntnisse dieses Grundvertrauen widerlegen. Mehr als kritische Recherche kann im Allgemeinen ein kleiner, unwissender Verbraucher dabei nicht betreiben.

In diesem Fall bedeutet dies (für mich): Der Hersteller versichert, dass sein Produkt durch Browsererweiterungen etc. im Allgemeinen (!) nicht kompromittiert werden kann.
Sollte es daran nicht nur Zweifel, sondern gegenteilige Fakten geben, müssen diese offen gelegt und prüfbar, also verifizierbar gemacht werden.
Und genau darum ging es mir in meiner Eingangsfrage.

Das gilt dann hoffentlich auch für die anderen Passwortmanager und Extensions
Eine unabhängige offene Prüfung wäre natürlich fein, aber wenn es da wirklich was geben sollte, wäre dies vermutlich schon viral gegangen…