Sie sollten das automatische Ausfüllen in Ihrem Passwort-Manager deaktivieren und die Verwendung einiger Browser-Passwort-Manager ganz einstellen, argumentiert ein tschechischer Sicherheitsforscher.
“Die meisten Passwortmanager haben die Autofill-Funktion standardmäßig aktiviert, obwohl sie die Sicherheit des gespeicherten Passworts verringert”, sagte Marek Toth, Penetrationstester bei Avast, in einem neuer Blog-Beitrag.
AutoFill ist, wenn Ihr Passwort-Manager die Benutzernamen-und Passwortfelder auf der Anmeldeseite einer Website mit Ihren gespeicherten Zugangsdaten ausfüllt, ohne dass Sie aktiv nach dem Passwort fragen Manager.
Die in das Feld eingefügten Zeichen können dann von auf der Anmeldeseite vorhandenen Skripten”gelesen”werden – wie beispielsweise in einer Online-Anzeige voreingestellt, die nichts mit der Seite selbst zu tun hat – und diese Skripte werden in der Lage sein, Ihren Benutzernamen und Ihr Passwort überall hin zu kopieren und zu senden.
Natürlich könnten diese Skripte auch Ihren Benutzernamen und Ihr Passwort lesen, wenn Sie die Felder beim Anmelden aktiv ausfüllen, aber Sie haben zumindest die Kontrolle darüber, wann dies geschieht.
AutoFilling versucht ständig, diese Felder auszufüllen. Bösartige Skripte können unsichtbare Anmeldefelder erstellen, die Sie nicht sehen können, um diese Anmeldeinformationen ohne Ihr Wissen abzufangen, wie drei Forscher im Jahr 2017 entdeckt.
Toth fand heraus, dass die meisten großen Web Browser, einschließlich Chrome, Firefox, Edge, Internet Explorer, Opera und Vivaldi haben standardmäßig automatisch Benutzernamen und Passwörter eingegeben, ebenso wie die eigenständigen Passwortmanager LastPass, Dashlane und Sticky-Passwort.
Die Browser Safari und Brave haben Passwörter nicht automatisch ausgefüllt, sagte Toth, ebensowenig wie der 1Password, RoboForm und Bitwarden Passwort-Manager. Ein anderer Passwort-Manager, Keeper, füllt Passwörter auf Site-by-Site-Basis mit Benutzerberechtigung automatisch aus.
“Durch die standardmäßige Aktivierung des automatischen Ausfüllens erkennen unsere Benutzer den Wert eines Passwort-Managers früher”, sagte Frédéric Rivain, Chief Technology Officer von Dashlane.”Dies erhöht letztendlich ihre Chancen, weiterhin einen Passwort-Manager zu verwenden und dadurch immer sicherer zu werden.”
“Das Autofill bietet auch einen Anti-Phishing-Schutz, da Dashlane nur Benutzerinformationen auf der jeweiligen verlinkten Website vorschlägt zu ihrem Passwort”, fügte Rivain hinzu.”Die einzige identifizierte Schwachstelle besteht darin, dass ein Angreifer die Website, auf der Sie sich anmelden, verändert hat. In diesem Fall kann er Ihr Passwort stehlen, unabhängig davon, ob Sie die automatische Ausfüllung aktiviert haben oder nicht.”
“Wir prüfen ständig Möglichkeiten, um den Autofill-Flow zu verbessern, um unsere Benutzer zu schützen und gleichzeitig ein bequemes Login-Erlebnis zu bieten”, sagte Dan DeMichele, Vice President of Product Management bei LastPass.”Wir empfehlen Benutzern immer, nur Websites zu besuchen und auf Links zu klicken, denen sie vertrauen, um potenzielle Versuche zu verhindern, Anmeldeinformationen zu stehlen.”
“Wenn der Benutzer die Kontrolle über das Ausfüllen der Anmeldeinformationen haben möchte, ist diese Option als Einstellung für die Nebenstelleneinstellung und für Geschäftsbenutzer als Richtlinie verfügbar”, fügte DeMichele hinzu.”Die Bereitstellung eines sicheren Dienstes für unsere Benutzer bleibt unsere oberste Priorität.”
Unten finden Sie Anweisungen zum Deaktivieren des automatischen Ausfüllens in Dashlane, LastPass und den Browsern, in denen dies möglich ist.
Sehen Sie selbst, was passiert
Sie können sehen, worüber Toth spricht, indem Sie seine Online-Demonstration verwenden. Geben Sie einen falschen Benutzernamen und ein falsches Passwort in die Login-Felder auf dieser Seite ein und lassen Sie Ihren Browser oder Passwort-Manager die Zugangsdaten speichern:
https://websecurity.dev/password-managers/login/
Gehen Sie dann im selben Browser auf diese Seite. Möglicherweise müssen Sie für diese Arbeit irgendwo auf der Seite klicken, die Maus bewegen oder auf das Feld”Benachrichtigungen zulassen”klicken:
https://websecurity.dev/password-managers/autofill/
Wenn Ihr Browser oder Passwort-Manager Passwörter automatisch ausfüllt, sehen Sie der eingegebene Benutzername und das Passwort werden auf der Seite angezeigt.
(Bildnachweis: Marek Toth/Tom’s Guide)
Das ist ein großes Sicherheitsrisiko, da nicht nur Sie diese Anmeldeinformationen sehen können, sondern auch ein bösartiges Skript, das in die Webseite eingebettet ist.
Moderne Websites sind voll von Tracking-Skripten von Drittanbietern, eingebetteten Frames und dynamischen Anzeigen, die oft nichts mit dem Unternehmen zu tun haben, das die Website betreibt, und jedes dieser Elemente kann Ihren Benutzernamen stehlen und Passwort.
Dies ist keine neue Entdeckung, um sicher zu sein. Wir haben mehrere ältere Blog-Posts von verschiedenen Forschern gefunden, die sich dagegen aussprechen, dass Browser und Passwort-Manager Passwörter automatisch ausfüllen lassen. Hier ist eine Demo im Zusammenhang mit der bereits erwähnten Studie aus dem Jahr 2017, die testet, ob Browser automatisch ausfüllen:
https://senglehardt.com/demo/no_boundaries/loginmanager/index.html
Und hier sind die Ergebnisse:
So deaktivieren Sie das automatische Ausfüllen
Wie können Sie das also umgehen?
Nun, zunächst hören Sie auf, Browser zum Speichern Ihrer Passwörter zu verwenden, oder zumindest sensible Passwörter wie die für soziale Medien, E-Mail und alles, was mit Kreditkarten oder Finanztransaktionen zu tun hat, einschließlich Bank-und Einkaufsseiten. Es ist bereits zu einfach, gespeicherte Passwörter von Webbrowsern auf andere Weise zu stehlen.
In vielen Chromium-basierten Browsern, einschließlich Chrome, Opera und Vivaldi, können Sie das automatische Ausfüllen nicht einmal deaktivieren. Brave ist eine Ausnahme, da es zunächst nicht automatisch ausgefüllt wird und Edge eine spezielle Einstellung nur für Microsoft hat.
So deaktivieren Sie das automatische Ausfüllen in Firefox
1. Öffnen Sie einen neuen Tab.
2. Klicken Sie oben rechts auf der Seite auf das Zahnradsymbol.
3. Scrollen Sie nach unten und klicken Sie auf Weitere Einstellungen verwalten.
4. Klicken Sie in der linken Navigationsleiste auf Datenschutz und Sicherheit.
5. Scrollen Sie nach unten zu Anmeldungen und Passwörter und deaktivieren Sie”Anmeldungen und Passwörter automatisch ausfüllen”.
So deaktivieren Sie das automatische Ausfüllen in Microsoft Edge
Microsoft umgeht die Einschränkungen von Chromium, indem es eine Windows-Sicherheitsprüfung hinzufügt, wenn Sie es deaktivieren automatisch ausfüllen. Sie müssen Ihr Windows-Benutzerkennwort eingeben, wenn der Browser Ihre Kennwörter eingeben soll.
1. Klicken Sie oben rechts im Browserfenster auf die drei horizontalen Punkte.
2. Scrollen Sie nach unten und klicken Sie auf Einstellungen.
3. Wählen Sie im angezeigten Fenster Persönliches Profil die Option Passwörter aus.
4. Wählen Sie unter”Angebot zum Speichern von Passwörtern/Anmeldung”die Option”Mit Gerätepasswort”.
5. Geben Sie Ihr Windows-Benutzerpasswort ein.
So deaktivieren Sie das automatische Ausfüllen in LastPass
Anstatt einen Browser zum Speichern Ihrer Passwörter zu verwenden, verwenden Sie einen Passwort-Manager. LastPass ist unsere erste Wahl unter den besten Passwort-Managern, aber es ist einer der Haupttäter beim automatischen Ausfüllen.
Die Option ist standardmäßig aktiviert, auch wenn Sie das automatische Ausfüllen deaktivieren und dann wieder aktivieren, erhalten Sie ein großes Warn-Popup-Fenster, das Ihnen mitteilt, dass es sich um ein Sicherheitsrisiko handelt.
(Bildnachweis: LastPass)
So deaktivieren Sie das automatische Ausfüllen in LastPass:
1. Klicken Sie in Ihrem Webbrowser auf das Symbol der LastPass-Erweiterung.
2. Scrollen Sie nach unten und klicken Sie auf Kontooptionen.
3. Klicken Sie auf Erweiterungseinstellungen.
4. Deaktivieren Sie unter”Allgemein”die Option”Anmeldeinformationen automatisch ausfüllen”.
LastPass funktioniert auch nach dieser Änderung einwandfrei. Um sich bei Websites anzumelden, für die LastPass die Anmeldeinformationen gespeichert hat, müssen Sie nur auf das LastPass-Symbol klicken, das in jedem Anmeldeformularfeld angezeigt wird.
So deaktivieren Sie das automatische Ausfüllen in Dashlane
Der andere große Passwort-Manager, der standardmäßig automatisch ausgefüllt wird, ist Dashlane. Sie müssen das automatische Ausfüllen auf Site-by-Site-Basis deaktivieren.
1. Öffnen Sie die Dashlane-Weboberfläche, die mobile App oder die Desktop-Anwendung.
2. Wählen Sie die Anmeldedaten aus, die Sie bearbeiten möchten.
3. Deaktivieren Sie unter AutoFill-Optionen die Option”Mich automatisch auf dieser Website anmelden”.
Die besten 1Password-Angebote von heute