News: Passwort-Recycling

Wie vor kurzem auf heise.de berichtet wurde, gibt es nun ein neues Firefox-Addon mit Namen "Passord Reuse Visualizer", welches Mehrfachbenutzungen von im Firefox Password Manager gespeicherten Passwörtern darstellt. Hat man das Addon installiert, so zeigt es einem in Form von verbundenen Kreisen an, auf welchen Seiten man das gleiche Passwort verwendet. So kann man relativ schnell sehen welche Passwörter man besser ändern sollte, denn, auf je mehr Webseiten man ein Passwort verwendet, desto mehr Probleme hat man, wenn eine der Webseiten gehackt wird oder das Passwort auf eine andere Art in falsche Hände gerät. Denn der Angreifer hat jetzt nicht nur Zugang zu einer Internetseite, sondern theoretisch zu allen anderen die das selbe Passwort haben. Vor allem problematisch wird es dann, wenn die oftmals eingetragene Mailadresse das selbe Passwort hat, da der Angreifer dann Mails mitlesen und auf Grund derer Rückschlüsse über weitere Konten mit demselben Passwort ziehen könnte.

Doch das Addon hier zeigt noch ein weiteres Problem auf, welches selbst Nutzer haben die für jede Internetseite ein eigenes Passwort haben und dies mit dem Firefox Password Manager speichern. Nämlich wie dieses Addon zeigt kann jedes Firefox-Addon zu mindestens auf die Passworthashes hat, und diese auch ans Internet versenden könnte. Da es allerdings bereits Programme gibt, welche in der Lage sind direkt die Passwörter aus den vom Firefox Password Manager gespeicherten Dateien auslesen können, wäre es auch möglich die Passwörter direkt ohne Umweg über die Hashes zu versenden. Deshalb sollte man aufpassen aus welchen Quellen man Addons installiert um eine solche Kompromittierung des Systems zu vermeiden.

Insgesamt lässt sich sagen, dass das Recycling von Passwörtern auf vielen Webseiten ein Sicherheitsrisiko schafft und die Verwendung von vielen einzelnen Passwörtern in einem im Browser integrierten Passwort Manager dieses Sicherheitsrisiko auf das eigene System verlagert. Da es aber heutzutage quasi unmöglich ist sich alle seine Passwörter zu merken, sollte man entweder einen standalone Passwort Manager benutzen oder zu mindestens die Regel befolgen, dass man grundsätzlich für jede Webseite ein anderes Passwort verwenden sollte und zumindest für sicherheitskritische Webseiten, also Onlinebanking und aufgrund des Bezuges zu anderen Konten auch Webmaildienste, keinen im Browser integrierten Passwort Manager benutzen sollte.