Wenn man so Dinge über Passwort-Manager hört, sieht man oft erhobene Zeigefinger und hört die Mahnung: „Finger weg vom Google Chrome“. Ist das gerechtfertigt? Vor allem, wenn wir uns überlegen, dass Google mit dem Chrome einen allseits vorhandenen Browser am Laufen hat und mit Android das am meisten verbreitete mobile Betriebssystem am Wickel hat. Es gibt sicherlich viel, worüber man kritisch in Richtung Google schauen kann. Aber wissen wir wirklich, dass andere besser sind?
Passwort-Manager: Papier, Datei, Cloud?
Wie lautet die Empfehlung allenthalben? Nehmt um Himmels Willen für jede Webseite, wo ihr euch anmeldet, ein eigenes Passwort und bastelt es euch möglichst kryptisch zusammen. Ich habe dazu vor längerer Zeit LastPass ausprobiert. Ich war eigentlich auch davon überzeugt, dass ich damit auf der richtigen Seite bin. Aber dann kam der Anbieter daher und fabrizierte Sicherheitslücken. Bei einem Passwort-Manager, wow! Und sie kamen mit einem neuen Preismodell daher.
Gut war damals eigentlich, dass die Passwörter immer verfügbar waren. Denn sie wurden in der Cloud gespeichert. Und zwar mit einem Master-Passwort. Aber die Cloud ist doch böse!!1!elf! Deshalb sollten wir alle auf externe Dateien zurückgreifen, auf die wir mittels USB-Stick oder so zugreifen. Und wie viele „Tresore“ gingen auf diesem Weg verloren? Da nützt der beste Passwort-Manager nichts, wenn ich nicht auf meinen Kram aufpassen kann.
Also dann doch wieder die Passwort-Liste auf einem Zettel? Denken wir uns dann wirklich solche Passwörter wie 0dF;oD5;6bW_z aus? Das glaubt doch niemand. Dann wird es dabei bleiben, dass wir das berühmte ERNSTL nehmen. Oder Wert oder god oder so. Mit anderen Worten: Eine richtige Passwort-Sicherheit kann mit einem „Passwort-Manager“ in Form einer Art Zettelwirtschaft niemals gewährleistet werden. Da muss doch etwas sinnvolles her.
Dann nehme ich eben nur ein einziges Passwort
Wenn es nun also so ist, dass die genannten Möglichkeiten nicht so richtig taugen, dann nutzen wir also für alle Dienste, die wir so in Anspruch nehmen, ein und dasselbe Passwort. Das ist dann praktisch für alle Angreifer. Haben die ein Passwort, haben sie dann nämlich alle Passwörter. Das vereinfacht dann den Datenmissbrauch ungemein. Und jetzt erzählt niemandem etwas davon, dass doch eh bei euch nichts zu holen ist. Das könnt ihr nämlich gar nicht beurteilen.
Nehmen wir ältere, körperlich eingeschränkte Menschen, die aber fit am Computer sind. Ja, davon kenne ich ein paar. Die machen meinetwegen ihre Korrespondenz per Email, ihre Einkäufe beim Online-Shop des Supermarkts und bestellen für die Enkel die Weihnachtsgeschenke beim Online-Händler. Dazu machen sie ihre Bankgeschäfte über das Online-Banking ihrer Hausbank. Und all das mit ein und demselben Passwort, was sie natürlich niemals aktualisieren?
Es geht ja nicht darum, dass die Senioren nun potentielle Angriffsziele sind. Vielmehr geht es darum, dass über dieses eine uralte und einfache Passwort bei allen Diensten andere angegriffen werden können. Ein Passwort für alle Dienste ist eine denkbar schlechte Idee. Und so hofft man, dass es dann doch irgendwann ein Einsehen gibt, dass man dann doch lieber einen Passwort-Manager nutzen sollte. Die Hoffnung stirbt ja zuletzt.
Der Passwort-Manager im Google Chrome
Man kann seit ewig vielen Jahren die Passwörter im Browser speichern, und irgendwann nannte man die Funktion dann eben „Passwort-Manager“. Die gab es schon im Internet Explorer 6, soweit ich weiß. Jetzt gucken wir aber mal zu der Funktion im Google Chrome. Der dortige Passwort-Manager, der übrigens auch eine eigene Webadresse hat, ist dabei gar nicht so schlecht. Man braucht eigentlich nur sein Google-Passwort. Und dann bietet der Passwort-Manager im Wesentlichen das da:
- Speichern von Passwörtern
- Vergabe neuer, sicherer Passwörter
- Überprüfung der vorhandenen Passwörter
- Suche, Export, Import, Löschung von Passwörtern
- Synchronisation der Passwörter über den Google-Account an alle angemeldeten Geräte
Ja, ich höre es schon wieder: „Bist du verrückt? Ich gebe doch meine Daten keiner Datenkrake!“ – Und das wird dann sicherlich über die Facebook-App auf einem Android-Smartphone kommentiert, richtig? Und dann will man mir irgendwas von Datenschutz erzählen? Nein, die Daten werden ja verschlüsselt. Dazu haben wir ja das Passwort unseres Google-Accounts. Dass wir das nicht im Browser speichern, sollte klar sein, oder? Und dann kommt auch Google nicht an die Anmeldedaten.
Das Problem ist ja, dass alle Welt immer wieder auf Google schimpft. Schnell ist man dabei, in diesen Kanon einzustimmen. Allerdings lassen viele gern unter den Tisch fallen, dass es der US-Riese eben einfach mal kann. Und dass bei Google Daten abhanden gekommen sind wie bei LastPass, OneLogin, 1Password etc., habe ich noch nicht gehört. Man kann auf Google schimpfen, keine Frage. Aber dann muss man auch einen besseren Passwort-Manager kennen. Wisst ihr da was? Ich nicht.
Es kommt ja noch hinzu, dass man die Dienste mit 2-Faktor-Authentifizierung absichern sollte, wo das geht. Dann ist doch am Ende genau genommen der verwendete Passwort-Manager ziemlich egal. Dann kann ich doch auch genauso gut die Funktion im Google Chrome verwenden. Oder etwa nicht?
Ich weiß nicht, weshalb man seine Passwörter überhaupt dritten anvertauen sollte… ob in den USA oder in Lapukistan.
Keepass__ in Verbindung mit SyncThing und man behält die Hoheit.
Ich glaube einfach, diese ganze Diskussion ist ähnlich wie viele andere. Welches Auto ist das beste? Welcher Laptop? Welches Smartphone? Am Ende sollte das ja jeder für sich entscheiden und für viele (ich sag mal DAU) ist es eben der einfache Weg ihre Passwörter in Chrome zu speichern. Die Funktion ist da und kann ohne Aufwand oder tiefes technisches Verständnis genutzt werden. Und lieber so als gar nicht.
Das wird wiederum bei Keepass schon schwieriger, oder bei anderen.
Das Hauptproblem dieser Debatte sehe ich eigentlich ganz woanders. Generell sollte man, wie im Artikel erwähnt, grundsätzlich eine 2-Faktor Authentifizierung durchführen wenn möglich. Dadurch steigt die Sicherheit schon mal erheblich. Allerdings nützt das alles recht wenig, wenn ungesperrte Smartphones auf Schreibtischen liegen oder der Rechner nicht gesperrt wird wenn man den Arbeitsplatz „kurz mal“ verlässt. Und natürlich das ganze gute alte Notizbuch mit Passwörtern in Klartext nicht zu vergessen, welches auf dem Schreibtisch liegt…
Wenn die Passwörter im Browser dann nicht wenigstens mit einem Masterpasswort geschützt sind, sehe ich auch keine Rechtfertigung mehr. Wir beobachten das bei Kunden, als auch bei Geschäftspartnern. Dann aber auf Google und Facebook schimpfen. Und selbst vor Social Engerineering in Sachen Passwort-Diebstahl sind die meisten normalen Nutzer relativ ungeschützt, weil Sie mit Ihren Daten rumwedeln als wären es bunte Fähnchen zum Parteitag.
Hallo Dan,
das stimmt, lieber im Chrome speichern als gar nicht. Und den Chrome kann ich ja mit Google Account und Passwort (Was dann eben entsprechend kompliziert sein sollte) absichern.
2FA halte ich für das beste Mittel, um seine Accounts abzusichern. Freilich, ohne entsprechend gesperrte Geräte ist das auch wieder blöd. Dann braucht niemand irgendwas von „die Datenkrake“ erzählen. Lieber erstmal die eigenen Hausaufgaben machen.
Schade eigentlich, dass es von europäischer Seite nichts gibt, was sich annähernd so durchgesetzt haben kann. Aber damit muss man leider leben.
die Frage ist warum überhaupt Googles Chrome?
Firefox hat mit Sync ein tolles Werkzeug das alle Passwörter sicher verschlüsselt über alle Firefox Apps syncronisiert.
Für das Smartphone gibt es mit Lockwise sogar eine eigene Passwortmanager-App für Mozilla Sync die ist zwar noch nicht 100% komplett ist aber bereits mittels Fingerabdruck hervorragend funktioniert.
Und was den mobilen Firefox angeht ist die ältere Firefox App inzwischen echt ausgereift während die neue App (Firefox Preview) schon ordentlich benutzbar ist, wenn auch noch nicht mit allen Funktionen.
Ich verstehe zwar die nur schwer zu überwindende Trägheit welche Google mit seiner tiefen Systemintegration in allen Systemen induziert aber wenn man einmal einen Nachmittag damit verbringt sich aus den Krakenarmen Googles zu befreien dann surft man täglich auf einer Erfolgswelle welche stetige Verbesserungen erfährt statt Erpressungen.
…warum überhaupt Googles Chrome?
Weil Google Chrome nicht so nervt wie Firefox und einfach besser ist in jeder Kategorie.
Das Problem ist das meiste passwort Manager nicht richtig funktionieren zumindest nicht in Android, viele können nicht richtig die Formulare erkennen oder automatisch eintragen oder speichern Passwörter nicht richtig, ich habe alle FREE Passwört Manager aus probiert leider ist keine so gut und bequem wie die vom Google besonders nicht im Android, was ich bißchen schade finde den ich würde gerne andre Manager nutzen damit ich freier bin und auch Andre Browser nutzen kann so bin ich ich auf google Chrome angewiesen.
Mit Bitwarden habe ich bei Android und Win10 sehr gute Erfahrungen gemacht.
Und als Browser probiere ich auf Android gerade DuckDuckGo.
Und für die Nextcloud gibt es auch eine Passwort-Erweiterung, die ist jedoch auf Android bissl hakelig.
Für Chrome gab es dazu eine Erweiterung mit Sync etc.
OK, ich glaube dir das. Ich kenne mich ja mit Nextcloud überhaupt nicht aus.
Danke für den Hinweis, das kannte ich noch gar nicht. DuckDuckGo fand ich vor einer Weile nicht so pralle. Das mag sich inzwischen verbessert haben. Ich würde mich deshalb über einen aktuellen Bericht freuen.
Ich weiß gar nicht, warum man so lange diskutiert. Meine Passwörter könnt ihr alle haben. Wirklich! Kein Problem.
Oder vielleicht doch… Weil ihr damit nichts anfangen könnt. Grundsätzlich niemand… Denn alle meine Passwörter funktionieren mit einem Masterpasswort, das ich mit meiner Liste kombiniere. Beispiel gefällig?
Nehmen wir an, mein Masterpasswort wäre „Orange“. Das Wort steht nirgends, ich habe es mir einfach gemerkt. Ist ja auch einfach.
Meine Liste an Euch sieht also so aus:
Amazon Passwort: 12345
Ebay Passwort: 98765
Ihr könnt damit noch nichts anfangen. Denn dazu müsstet ihr zwei Dinge wissen:
1. Wie ist mein Masterpasswort. Es ist ja nur in meinem Kopf.
2. Wie wird es mit der offenen Liste oben behandelt?
Wenn ich mich also bei Amazon anmelden möchte, dann tippe ich das eigentliche Passwort ein. Es ist eine Kombination aus meinem Masterpasswort und einem der Passörter oben. Beispiel für Amazon, wie mein Passwort lauten könnte:
„12345Orange“
oder vielleicht „Orange12345“
oder vielleicht „12Orange345“
oder zuletzt „ORANGE54321“
oder oder oder…
Merkt ihr etwas? Der Trick ist, das ihr Euch ein System aussucht, mit dem man Eurer Masterpasswort kombiniert, das nur Euch bekannt ist. Klingt kompliziert, ist aber super easy. Und deswegen können gerne alle meine „Passswort-Liste“ kennen und sie kann auch mit jedem beliebigen System verwaltet werden. Ist mir doch Wurscht. Und wenn Euch das noch nicht Sicherheit genug ist, es gibt noch Kuli und Zettel…
Das hilft natürlich nichts, wenn Amazons gespeicherte Passwörter geklaut werden. Aber davor kann sich niemand schützen.
Liebe Grüße
Chris
Das ist eine sehr gute Idee. Und wo es möglich ist, verwende ich eine Zwei-Faktor-Authentifizierung
Das mag clever scheinen, ist es aber nicht!
Es kommt immer wieder vor, dass ein Anbieter gehacked wird und jemand dein Passwort dort cracked. Dann kann jeder (der will) es in Klartext sehen.
Jetzt kenne ich System und damit alle deine Passwörter. Ist also nur ganz leicht besser als überall das gleiche Passwort. Standard Passwort cracken kann ich übrigens die Passwörter reingeben, die von dir bereits bekannt sind. Auch ohne dein System zu kennen ist dann dein Passwort nur noch so sicher wie 12345. Also in Sekunden gecracked.
ja, das trifft vielleicht für deinen Rechner zuhause zu, aber nicht auf Google. Wenn 2FA aktiviert ist, nützt dir auch ein Passwort wie 12345 nichts. Und lange PW ausprobieren von überall aus, ist auch nicht drin. https://safety.google/intl/de/security/built-in-protection/
Die meisten nutzen (leider) kein 2FA. Davon hat Christoph auch nichts geschrieben. Jetzt zu sagen schlechte Passwörter sind ok, wenn man dafür 2FA nutzt… Finde ich etwas gewagt.
> Und lange PW ausprobieren von überall aus, ist auch nicht drin.
Ja, habe ich auch nicht gesagt:
>> Es kommt immer wieder vor, dass ein Anbieter gehacked wird und jemand dein Passwort dort cracked.
Bei einer geleakten Datenbank kannst du in aller Ruhe das Passwort cracken. Dazu gibt eigentlich tägliche Meldungen wo wieder eine Passwort Datenbank raus gefallen ist. Damit muss man immer rechnen auch bei Google.
Eine verantwortungsvolle Firma speichert keine Passwörter, sondern nur daraus errechnete Hashwerte. Die sind für Hacker völlig wertlos.
Passwort-Hashs sind nicht wertlos. Dafür wird echtes Geld bezahlt. Ist eine gängige Methode diese Werte durch probieren (Wörterbuch/Bruteforce) zurück zurechnen. Mit diesen Accounts wird dann auch probiert sich bei anderen Diensten anzumelden. Bei wertvollen Zielen (Cryptogeld Accounts) wird auch probiert Passwort-Systeme wie oben erwähnt zu erraten.
Das ist keine theoretische Bedrohung, sondern aktiv genutzte Angriffe.
Meine Empfehlung ist es sich niemals Passwörter selbst auszudenken. Nutzt einen Passwort Store und lasst euch die Passwörter von diesem erzeugen.
Da ist viel richtiges dabei. Maschinell und zufällig erzeugte Werte sind immer besser. Zumindest so lang, wie dem potentiellen Angreifer nicht bekannt ist, welche Maschine das Erzeugnis geliefert hat. Und da bin ich dabei, was ich hier im Blog häufig anmahne: Wir können vergessen, dass es eine absolute Sicherheit gibt. Wir können allerdings dafür sorgen, dass die Flanke, die angegriffen werden kann, möglichst klein ist.
Das mache ich auch. Das sollte man eh überall, wo es sich anbietet.
Geniale Idee mit der Kombi Masterpasswort + gespeichertes Passwort…..nur bloss nicht die neuAbSpeicherung bejahennnnnn ….;-)))))%*“)))@@2xmega lol….. ;)
Und das Ganze bitte nochmal in verständlichem Deutsch?
Kann mir jemand bitte die Zwei-Faktor-Authentifizierung mit einfachen Worten erklären? Im Netz wird das Thema zwar beschrieben, aber von Experten für Experten, doch da bin ich fachlich leider raus. Oder anders gefragt, wo wird sie angewandt? Bei den üblichen „Verdächtigen“, wie ebay, amazon und Co. oder geht das über diese Konsumerseiten hinaus? Falls ja, macht das für mich keinen Sinn und würde dann auf das Beispiel mit der Orange zurückgreifen.
Hallo Martin, sorry, durch viel Arbeit kam ich jetzt erst dazu, deinen Kommentar freizuschalten.
Also grundsätzlich bieten alle möglichen Anbieter eine Zwei-Faktor-Authentifizierung an. Dabei muss irgendeine zweite Option angeboten werden. Wie bei deinem Bankkonto: Du authentifizierst dich am Geldautomaten grundsätzlich mit deiner Karte. Der zweite Faktor ist deine PIN.
Ich weiß, dass etliche Email-Anbieter und sozialen Netzwerke so etwas anbieten. Dabei ist es so, dass du dich ganz normal anmeldest und dann über einen zweiten Weg einen Code bekommst. Bei Amazon habe ich das so eingerichtet, dass die mir eine SMS mit einem Zahlencode schicken. Sonst geht auch Email oder irgendein Authenticator.
Aber danke für den Hinweis. Ich werde mich mal damit beschäftigen und etwas dazu aufschreiben.
Hallo Henning.
Hallo Henning. Kein Thema, gut Ding will Weile haben. Dass die Zwei-Faktor-Authentifizierung auch nach hinten losgehen kann, zeigt folgendes. Amazon lässt mich nicht mehr rein. Zum ersten Mal erschien nach dem gewohnten Einlog-Vorgang eine Seite, auf der ich hingewiesen wurde, dass ein Link an die angegebene Handynummer verschickt wurde. Blöd nur, dass es sich um kein Internetfähiges Smartphone handelt und sich somit der Link nicht anklicken ließ. Als ganz gewöhnlicher Konsument konnte ich wirklich nicht ahnen, was für ein Rattenschwanz es nach sich zieht. Denn zum einen ist mir telefonieren grundsätzlich nicht möglich und zum zweiten scheint amazon nicht per email erreichbar zu sein. Zumindest haben mir die ersten google Seiten nichts präsentiert. Dumm gelaufen, kann ich da nur sagen…..
Ich versuche es auch einmal in einfachen Worten und ein paar Infos.
OHNE Zwei-Faktor-Identifizierung(2FA) kann sich ein Benutzer an Deinem Konto anmelden, wenn er Dein Passwort kennt. Das wichtigste dabei: Du merkst es meist nicht!
MIT einer Zwei-Faktor-Authentifizierung ist das anders: Immer wenn sich jemand mit Deinem Passwort anmelden möchte, braucht das System eine Bestätigung des Passworts. Die Arten der Bestätigung variieren wie folgt:
1. Du bekommst eine Nachricht per SMS an Dein Smartphone. Meist ist dies eine generierte Nummer, die Du nach der Passwort-Eingabe online eingeben musst. Ohne Nummer kein Zugang, ohne Smartphone erst recht nicht…
2. Du sollst eine Nummer eingeben, die in einer Authentifizierungs-App angezeigt wird. Das ist eine App, die Du vorher installierst und in Deinem Konto aktivieren musst. Das läuft meist über einen QR-Code, der online erscheint und als Registrierung mit Deinem Smartphone fotografiert werden muss. In der App stehen dann Anbieter, bei denen Du registrierst bist. Dort wechselt bei jedem Anbieter die Nummer alle 1-2 Minuten. Da dies nur auf Deinem Smartphone geschieht, kann sich niemand ohne Dein Telefon anmelden.
3. Du bekommst eine Frage von Deinem Anbieter auf Dein Smartphone, sobald sich jemand versucht in Dein Konto anzumelden. Da gibt es unterschiedliche Varianten der Nachricht. Eine fragt einfach nur, ob die Anmeldung regulär ist und Du musst nur auf „Ja“ oder „Nein“ drücken. Andere Lösungen, wie zum Beispiel von Apple, fragen Dich und senden zusätzlich noch einen Code, der wiederum eingeben werden soll. Ähnlich funktionieren auch Lösungen von Microsoft.
Grundsätzlich gilt:
Ohne Dein Smartphone, kann man sich nie an Deinem Konto anmelden wenn man eine 2FA nutzt.
Viele Anbieter senden Dir nach einer erfolgreichen neuen Anmeldung sicherheitshalber noch eine Nachricht via E-Mail. Dann kannst Du lesen, das sich jemand mit einem „neuen Gerät“ angemeldet hat. Du hast dann immer noch die Möglichkeit, dies schnell zu unterbinden.
Nun sollte eigentlich alles klar sein.
Du hast definitiv den Film Philadelphia gesehen, in dem Denzel Washington fragte, kann mir das mal irgendjemand so erklären, als ob ich 5 Jahre alt wäre. Kurz und bündig, ja du hast es geschafft, danke dafür. ;-)
Mein „Problem“ bei der ganzen Sache ist, ich gehöre zu den 0,01 % der deutschen Bevölkerung, die kein Smartphone besitzen. Das bringt eine Menge Nachteile, ich weiß. Wie z.B. beim Onlinebanking, digitaler Corona Impfpass, kein Zugriff auf QR-Codes, Apps usw. und jetzt nun bei der Zwei-Faktor-Authentifizierung.
Es gibt bestimmt Möglichkeiten, dies alles zu kompensieren und das gilt es nun herauszufinden. Zumindest die Zwei-Faktor-Authentifizierung ist vom Tisch und was den Corona Impfpass betrifft, da dürfte noch eine ganze Weile ein Pass in Papierform gültig sein.
Falls es Dir darum geht, das Google oder Apple Deine Daten ausspäht, wenn Du ein Smartphone besitzt, solltest Du zwei Dinge wissen:
1. Man kann durchaus ein Smartphone ohne Google Konto nutzen. Das gleiche gilt für Apple. Dann wird auch nicht auf die Kontakte zugegriffen. Nachteil ist nur, das Du für Apps selbst Updates besorgen musst, da die geschützten App-Stores der Systemanbieter nicht mehr ohne Weiteres erreichbar sind.
2. Was den meisten Menschen jedoch selten bewusst ist:
In erster Linie spionieren nicht die Systeme, sondern die Apps die Menschen aus. Man kann bei Google und Apple viele Dienste ausschalten, sodass kaum noch etwas über Dich gespeichert wird. Die Mühe macht sich aber kaum einer. Genauso wenig, wie Datenschutzhinweise oder AGBs zu lesen…
Wie man auf Google oder Apple auf seinem Smartphone verzichtet, steht auf diversen Websites. Das Thema ist grundsätzlich etwas umfangreicher.
Eine weitere Sache wird auch gerne vergessen:
Jeder, der Deine Nummer auf seinem Smartphone hat und die Daten nicht schützt (Das tun die Wenigsten), bei Dem wird die Nummer auch von Apps ausgespäht, wenn dies zugelassen wird (Z.B. WhatsApp und damit Facebook).
So gesehen dürfte heutzutage also niemand meine Telefonnummern haben dürfen… Aber das kann man schlecht einrichten. Dann müsste ich auch wieder Briefe schreiben und die Adressen hat dann die Post… und was die damit machen ist ein anderes Thema. ;-)
Deine Argumente sind alle sehr einleuchtend und nachvollziehbar, aber um Spionage geht es mir nicht, sondern es geht schlicht und ergreifend darum, dass ich kein Smartphone brauche, weder privat, noch beruflich. ;-) Ich hoffe nach wie vor, dass ich noch alles ohne SP regeln kann. Leider ist jetzt schon absehbar, dass die Bank meiner Frau ihr Onlinebanking Verfahren Januar 2022 umstellt und es nicht mehr per Kartenleser durchgeführt werden kann. Das sicherste neue Verfahren läuft dann nun mal nur über Smartphone, so wie es noch in Erinnerung habe. Wäre doch Blödsinn, nur deswegen eines anzuschaffen. Notfalls wechselt sie zu meiner Bank, wo der Kartenleser noch akzeptiert wird.
Hey, wie toll der Google Passwort Manager funktioniert. Lasst uns alle den benutzen!
Man bedenke übrigens: Die meisten Browser basieren auf Chrome (Google), so wie Android auch. Wenn also in Chrome und Android die Passwort Manager ALLE nicht gut funktionieren, nur der von Google, dann sollte man sich mal fragen woran das liegt und ob das vielleicht Absicht ist?
Man nennt das ausnutzen des Markt-Monopols.
Früher hat das Microsoft gemacht (und musste dafür mächtig zahlen), inzwischen ist Google da ganz groß.
Wie man hier sieht funktioniert es und es denkt sich nicht mal jemand was bei.
PS: Steht irgendwo, dass es end-to-end verschlüsselt ist? Wenn nein, hat die NSA übrigens Zugriff auf alle Passwörter. Per Gesetzt. Per Gesetzt darf Google das uns auch nicht sagen.
natürlich werden die Passwörter end-to-end verschlüsselt übertragen und liegen auch server-seitig mit deinem Passwort verschlüsselt vor, das ist heute Standard. Wenn ich jemandem Sicherheit zutraue dann Google. https://safety.google/intl/de/security-privacy/ Google hat es einfach drauf, deshalb funktioniert das.
Wo steht das da?
Ich sehe: „Wir schützen diese Daten mit mehreren Sicherheitsebenen, darunter führende Verschlüsselungstechnologien wie HTTPS und Transport Layer Security.“
„By default, Chrome encrypts your synced passwords with a key that is stored in your Google Account“
https://support.google.com/accounts/answer/6208650?hl=en
Ich lese da, dass der Key bei Google liegt. E2E ist leider nicht Standard. Gerade bei Google Photos, Docs, Drive, Mail, … ist alles nicht E2E. Gerade eben haben sie erst E2E für Google Messages aktiviert: https://9to5google.com/2021/06/15/google-messages-encryption/
Ja, Google kann Security sehr gut und der Google Passwort Manager ist gut.
Ist überhaupt nicht mein Thema.