Wie sicher sind die gespeicherten Passwörter in Google Chrome?

Eine häufig gestellte Frage bezüglich Google Chrome Browser ist die, warum es kein Master Passwort für die gespeicherten Passwörter gibt. Google vertritt dabei inoffiziel die Meinung, dass ein Masterpasswort dabei den falschen Zugang zum Schutz darstellt. Die beste Form des Schutzes für diese sensiblen Daten ist durch die allgemeine Systemsicherheit selbst.

Wie sicher sind nun also die gespeicherten Passwörter innerhalb von Google Chrome?

Gespeicherte Passwörter anzeigen

Google Chrome verfügt über einen eigenen Passwort-Manager der über "Settings > Erweiterte Settings > Passwords and Forms > Manage saved passwords" erreichbar ist. Das ist nichts Neues und wenn Sie Chrome bereits erlauben die Passwörter zu speichern, sind Sie wahrscheinlich bereits bestens mit diesem Feature vertraut.

Wo sind die Passwörter gespeichert?

Die gespeicherten Passwörter sind in einer SQLite Datenbank abgelegt. Die Datenbank findet man hier:
 

%UserProfile%\AppData\Local\Google\Chrome\User Data\Default\Login Data

Sie können diese Datei (der Dateiname lautet "Login-Data") mithilfe von SQLite Database Browser öffnen. Danach können Sie sich die "Logins" Tabelle ansehen, die auch die gespeicherten Passwörter enthält. Sie werden jedoch feststellen, dass das "password_value"-Feld nicht lesbar ist, weil der Wert darin verschlüsselt ist.

Wie sicher sind die verschlüsselten Daten?

Um die Verschlüsselung (unter Windows) durchzuführen, verwendet Chrome eine zur Verfügung gestellte Windows-API-Funktion, die die verschlüsselten Daten mithilfe des Windows-Benutzerkontos entschlüsseln kann. Im Wesentlichen ist also Ihr Master-Passwort Ihr Windows-Kennwort. Sie können daher, sobald Sie in Windows angemeldet sind, die Daten innerhalb von Chrome verschlüsseln.

Bedenken Sie jedoch dabei folgendes: der Zugriff auf die gespeicherten Passwörter ist nicht nur exklusiv für Chrome, auch externe Dienstprogramme können auf diese Art und Weise auf Ihre Daten zugreifen und entschlüsseln. Zum Beispiel mit dem frei verfügbaren Programm ChromePass von NirSoft können Sie alle Ihre gespeicherten Passwörter anzeigen und sogar in eine Textdatei exportieren.

Kann der Schutz umgangen werden?

Angenommen Ihr Computer wurde gestohlen und der Dieb setzt Ihr Windows-Kennwort zurück. Wenn anschließend versucht wird, die Passwörter in Chrome oder mithifle des Dienstprogramms ChromePass anzuzeigen, würden die Passwort-Daten nicht zur Verfügung stehen, der Grund ist, dass das "Master-Passwort" (Ihr Windows-Kennwort das zurückgesetzt wurde) nicht übereinstimmt, deshalb schlägt die Entschlüsselung fehl.

Wenn zusätzlich versucht wird, die SQLite-Datenbank-Datei zu kopieren und diese auf einem anderen Computer zu öffnen, würde ChromePass die Passwörter aus dem gleichen Grund - wie bereits erläutert - ebenfalls nicht anzeigen können.

Fazit

Letztendlich hängt die Sicherheit der gespeichertern Passwörter ganz vom User selbst ab:
 

• Verwenden Sie ein sehr starkes Windows-Passwort. Denken Sie daran, es gibt Werkzeuge, die Windows-Passwörter entschlüsseln können. Wenn jemand in den Besitz Ihres Windows-Kennworts kommt, dann hat derjenige auch Zugriff auf Ihre gespeicherten Passwörter.
• Schützen Sie sich vor Malware. Wenn schon Dienstprogramme ganz einfach in der Lage sind, auf Ihre gespeicherten Passwörter zuzugreifen, warum dann nicht auch Malware?
• Speichern Sie Ihre Passwörter in einem Passwort-Management-System wie KeePass, auch wenn sie natürlich die Bequemlichkeit verlieren, dass der Browser automatisch Ihre Passwörter ausfüllt.
• Verwenden Sie ein 3-Party-Dienstprogramm, das in Chrome integriert und ein Master-Passwort verwendet, um Ihre Passwörter zu verwalten.
• Verschlüsseln Sie Ihre gesamte Festplatte mit zB TrueCrypt. Das ist völlig optional und ein Extra Schutz, doch wenn man die Daten auf Ihrer Festplatte nicht auslesen kann, können auch die gespeicherten Passwörter nicht entschlüsselt werden.

Letztendlich gilt folgendes, ist Ihr System sicher, sind auch Ihre gespeicherten Passwörter in Chrome sicher.