Chrome Abfrage aus Keypass

[Light 12]

Guten Morgen Leute,

 

ich möchte gern die Möglichkeit nutzen, Passwortabfragen von Webseiten die mit Chrome angefordert werden,

mit dem Chrome Addin aus Keypass abfragen zu lassen.

Ein Kollege hat allerdings Sicherheitsbedenken geäußert.

 

Ich wollte nur mal Eure Meinung dazu hören.

Vielleicht hat ja auch jemand einen Verweis auf belastbare Informationen.

 

Grüße aus Hamburg (im Regen...)

[Dr.Melzer 191]

vor 1 Stunde schrieb Light:

 

Ein Kollege hat allerdings Sicherheitsbedenken geäußert.

Welche Bedenken hat der Kollege denn genau geäußert und wie kommt Chrome an die Kennwörter aus KeePass?

[Light 12]

Hallo Herr Doktor,

 

er befürchtet, dass Chrome Zugang zu den Kennwörtern erhält.

Aus meiner Sicht ist es unerheblich, da es  keinen Unterschied macht,

ob Chrome die Kennwörter liest oder ich sie eingebe.

 

Ich habe das so verstanden, dass man ein Chrome Addinn installiert und dann die Kennwörter von Keypass an Chrome übergeben werden.

 

 

[Sunny61 806]

Auch ohne Chrome Addin kann man mittels KeyPass die Kennwörter an den Browser übergeben.

 

Aber Chrome ansich ist ja schon ein Sicherheitsrisiko. ;)

[daabm 1.354]

Die Addins der gängigen Passwortmanager sind lediglich ein Komfort-Feature. Sicherheitslücken reißen sie nicht auf. Und wie schon geschrieben: Letztlich ist es egal, ob KeePass das Kennwort automatisch eintippt oder per Strg-V, oder ob ich es eintippe. Chrome kann es auf jeden Fall immer lesen...

[Lian 2.421]

Die Bedenken werden daher kommen, dass Chrome ggf. auf alle Kennwörter zugreifen könnte und nicht nur auf die für Webseiten...

[Light 12]

Danke für Eure Kommentare.

@Sunny Wenn Du möchtest, könntest Du mir kurz aufzeigen wie das geht? Danke

[Lian 2.421]

Entweder Du benutzt Copy & Paste aus Keypass heraus oder Auto-Type:

 

 

Wichtig dabei: Erst den Fokus (Cursor) auf das Eingabefeld legen, also einmal anklicken, danach die Option Auto-Type wählen.

 

[Sunny61 806]

Wie Lian schrub, Auto-Type lässt sich individuell auf alles und jedes einstellen und konfigurieren. Es muss nicht der Cursor auf dem Eingabefeld liegen, ich kann auch die Schritte mit der TAB-Taste durchlaufen lassen. Alles eine Angelegenheit von wenigen Minuten. :)

 

Den Eintrag im KeyPass auswählen, mit STRG + U wird die Site im Browser aufgerufen, rein klicken, STRG + V, fertig.

[Lian 2.421]

vor 2 Stunden schrieb Sunny61:

Es muss nicht der Cursor auf dem Eingabefeld liegen

Nein, die aktive Anwendung muss im Vordergrund sein. Sonst werden Logindaten im Klartext in ein x-beliebiges Fenster abgespult.

[daabm 1.354]

KeePass rafft das irgendwie, welches Fenster es auswählen muß - hab mich da aber auch noch nicht wirklich eingelesen. Das Risiko des wahlfreien Abspulens ist mir wohlbekannt

[Lian 2.421]

Ok, Du willst mir sagen, dass wenn ich hier im Board ausgeloggt den Cursor in das Suchfeld setze und im Keypass Auto-Type auslöse, dann klappt eine Anmeldung? 

 

Die Doku sagt das:

Zitat

Input Focus:
Note that auto-type starts typing into the control of the target window that has the input focus. Thus, for example for the default sequence you have to ensure that the input focus is set to the user name control of the target window before invoking auto-type using any of the above methods.

 

https://keepass.info/help/base/autotype.html

[4zap 17]

vor 4 Stunden schrieb Sunny61:

Wie Lian schrub, Auto-Type lässt sich individuell auf alles und jedes einstellen und konfigurieren. Es muss nicht der Cursor auf dem Eingabefeld liegen, ich kann auch die Schritte mit der TAB-Taste durchlaufen lassen. Alles eine Angelegenheit von wenigen Minuten. :)

 

Den Eintrag im KeyPass auswählen, mit STRG + U wird die Site im Browser aufgerufen, rein klicken, STRG + V, fertig.

Genau. das ist die manuelle Variante und m. E. die momentan sicherste. Mist kann aber immer passieren, gerade in dem Sektor.

 

Passwörter aus Chrome lesen kann in inzwischen die meiste Malware und wird auch gezielt eingesetzt. Man zielt auf Login Daten von Cloud Konten, Online Banking und Mailaccounts. Ich hab bislang auch jegliche Passwortextensions für Browser in der Firma geblockt. Wir decken online alles mit SSO ab über Azure. Da muss niemand mehr Passwörter kennen. Leider können das nicht alle Cloud Dienste richtig handhaben aber die meisten. Security researcher vermuten momentan das Malware wie Trickbot z. Bsp. auch die übergebenen Passwörter von Browserextensions von PW Managern erfassen können. Die Mimikatz Malware liest dir die Admin PW aus dem sam Datei, d. h. warst du auf irgendeinem client in der Firma mit Adminrechten eingeloggt stehts in der sam Datei. Die Angriffsvektoren sind momentan ziemlich tricky und verstecken sich in Powershellprozessen die nicht auffallen. Das ist ein Rundumschlag auf alles was Passwörter liefern könnte und er läuft sehr erfolgreich für die Hacker.

 

Das fatale an Passwörtern für browserbasierte Dienste sind sogenannte "shared services" wo man für viele verschiedene Benutzer die selben Login Daten verwendet. Ändern sich diese werden dann per Chat oder mail die neuen Login Daten im Klartext innerhalb der Benutzer verschickt. Auch da setzt aktuelle Malware an und durchsucht Chatverläufe und Emails nach leichtsinning verteilten Login Daten und wenn ich in Chatverläufe schaue tauchen dort früher oder später immer Login Daten auf. :( Inzwischen hat ja jeder den ganzen Krempel zusätzlich auf dem Smartphone und die Hacks von PW Managern in der Vergangenheit geschahen meistens über eine Smartphone Apps - Dashlane z. Bsp und LastPass. 

 

Mein Fazit: Ein Passwortmanager macht echt Sinn aber es gibt viele Punkte zu beachten damit es sicherer wird. Wasserdicht wird es nie. Und da ich die letzte Passwortattacke über Chrome live miterleben konnte hat der Browser in Thema Sicherheit bei mir schon länger verkackt. Die lief auch über eine verwundbare Extension aus dem RAM heraus an und hat in Sekunden die halbe Etage lahmgelegt bzw. haben wir den großen Stecker gezogen nachdem Intrusionmonitore rot blinkten. Bis dahin hatte man sich schon bis zum DC und DNS Server connected, auf dem Weg dahin alle Admin Konten ausgelesen, alle Browserpasswörter, alle DNS Anfragen zu Onlinebanking Seiten auf Fakeseiten umgeleitet usw.... echt spooky. 

Also mein Tipp: Keine Browserextension nutzen.

Wobei man für DAU's evtl eine Ausnahme machen sollte?

 

 

 

 

[daabm 1.354]

@4zap es gibt keine technische Alternative zu Brain 2.0...

 

Euch hätte eine Tier-Trennung geholfen - Domain Admins "Deny Interactive Logon" auf Clients und Member Servern (- ESAE). Und Cached Credentials auf 0 bei Desktops/Servern, auf 1 bei Laptops. Dann hat sich das mit dem Hash aus lokaler SAM auslesen relativ erledigt.

 

Aber das ist auch nur ein kleiner Stein im großen Security-Mosaik.

[Sunny61 806]

vor 6 Stunden schrieb Lian:

Nein, die aktive Anwendung muss im Vordergrund sein. Sonst werden Logindaten im Klartext in ein x-beliebiges Fenster abgespult.

Im Vordergrund ja, aber der Cursor muss nicht im Eingabefeld sein. Wenn ich weiß, wie viele TABs ich brauch um in das Feld zu kommen, geht es auch ohne den Klick in das Eingabefeld.