Bequem aber riskant
Unsichere Passwort-Manager in allen Browsern
Die in gängigen Web-Browsern integrierten Passwort-Manager bewahren Anmeldedaten keineswegs so sicher auf, wie die Hersteller behaupten. Besonders Google Chrome und Apple Safari sind anfällig, aber auch die anderen Browser zeigen Schwächen.
Passwort-Manager sollen den Benutzern den Komfort bieten sich ihre Zugangsdaten für Websites wie soziale Netzwerke, WebMail oder Online-Foren nicht merken zu müssen. Sie füllen die Daten automatisch in die entsprechenden Formularfelder ein. Das Problem dabei ist nur, dass Angreifer diese Anmeldedaten stehlen können, indem sie den Browser mit verschiedenen Tricks dazu bringen, die Zugangsdaten in die falschen Formulare einzutragen.
Der Sicherheitsforscher Robert Chapin, der vor zwei Jahren eine Sicherheitslücke im Passwort-Manager von Firefox aufgedeckt hatte, hat nun eine Studie veröffentlicht, in der er die Passwort-Manager der gängigen Browser untersucht hat. Dazu zählen für Chapin neben dem Internet Explorer 7 sowie Firefox 3 auch Opera, Apple Safari und Google Chrome.
Chapin hat eine umfangreiche Testreihe entwickelt und als Open Source veröffentlicht. Er hat die Tests mit dem IE7, Firefox 3.0.4, Opera 9.62, Safari 3.2 sowie Chrome 1.0 durchgeführt und in allen Browsern viele Fehler gefunden. Als Testsieger, wenn man das überhaupt so nennen kann, gehen Opera und Firefox aus dem Vergleich hervor, weil sie immerhin jeweils sieben von 21 Tests bestanden haben.
Der Internet Explorer kommt auf fünf, Safari und Chrome hingegen nur auf ganze zwei bestandene Tests. Passwort-Manager von Drittanbietern, die als Plugins für verschiedene Browser erhältlich sind, hatte Chapin bereits im Juli getestet - mit nicht wesentlich besseren Ergebnissen.
Robert Chapin, Gründer und Chef von Chapin Information Services Inc., hat die Testreihe auch für Jedermann zum Testen des eigenen Browsers auf der CIS-Website bereit gestellt.
