Jump to content

Chrome Abfrage aus Keypass


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Guten Morgen Leute,

 

ich möchte gern die Möglichkeit nutzen, Passwortabfragen von Webseiten die mit Chrome angefordert werden,

mit dem Chrome Addin aus Keypass abfragen zu lassen.

Ein Kollege hat allerdings Sicherheitsbedenken geäußert.

 

Ich wollte nur mal Eure Meinung dazu hören.

Vielleicht hat ja auch jemand einen Verweis auf belastbare Informationen.

 

Grüße aus Hamburg (im Regen...)

Link zu diesem Kommentar

Hallo Herr Doktor,

 

er befürchtet, dass Chrome Zugang zu den Kennwörtern erhält.

Aus meiner Sicht ist es unerheblich, da es  keinen Unterschied macht,

ob Chrome die Kennwörter liest oder ich sie eingebe.

 

Ich habe das so verstanden, dass man ein Chrome Addinn installiert und dann die Kennwörter von Keypass an Chrome übergeben werden.

 

 

Link zu diesem Kommentar

Wie Lian schrub, Auto-Type lässt sich individuell auf alles und jedes einstellen und konfigurieren. Es muss nicht der Cursor auf dem Eingabefeld liegen, ich kann auch die Schritte mit der TAB-Taste durchlaufen lassen. Alles eine Angelegenheit von wenigen Minuten. :)

 

Den Eintrag im KeyPass auswählen, mit STRG + U wird die Site im Browser aufgerufen, rein klicken, STRG + V, fertig.

Link zu diesem Kommentar

Ok, Du willst mir sagen, dass wenn ich hier im Board ausgeloggt den Cursor in das Suchfeld setze und im Keypass Auto-Type auslöse, dann klappt eine Anmeldung? :lol3:

 

Die Doku sagt das:

Zitat

Input Focus:
Note that auto-type starts typing into the control of the target window that has the input focus. Thus, for example for the default sequence you have to ensure that the input focus is set to the user name control of the target window before invoking auto-type using any of the above methods.

 

https://keepass.info/help/base/autotype.html

Link zu diesem Kommentar
vor 4 Stunden schrieb Sunny61:

Wie Lian schrub, Auto-Type lässt sich individuell auf alles und jedes einstellen und konfigurieren. Es muss nicht der Cursor auf dem Eingabefeld liegen, ich kann auch die Schritte mit der TAB-Taste durchlaufen lassen. Alles eine Angelegenheit von wenigen Minuten. :)

 

Den Eintrag im KeyPass auswählen, mit STRG + U wird die Site im Browser aufgerufen, rein klicken, STRG + V, fertig.

Genau. das ist die manuelle Variante und m. E. die momentan sicherste. Mist kann aber immer passieren, gerade in dem Sektor.

 

Passwörter aus Chrome lesen kann in inzwischen die meiste Malware und wird auch gezielt eingesetzt. Man zielt auf Login Daten von Cloud Konten, Online Banking und Mailaccounts. Ich hab bislang auch jegliche Passwortextensions für Browser in der Firma geblockt. Wir decken online alles mit SSO ab über Azure. Da muss niemand mehr Passwörter kennen. Leider können das nicht alle Cloud Dienste richtig handhaben aber die meisten. Security researcher vermuten momentan das Malware wie Trickbot z. Bsp. auch die übergebenen Passwörter von Browserextensions von PW Managern erfassen können. Die Mimikatz Malware liest dir die Admin PW aus dem sam Datei, d. h. warst du auf irgendeinem client in der Firma mit Adminrechten eingeloggt stehts in der sam Datei. Die Angriffsvektoren sind momentan ziemlich tricky und verstecken sich in Powershellprozessen die nicht auffallen. Das ist ein Rundumschlag auf alles was Passwörter liefern könnte und er läuft sehr erfolgreich für die Hacker.

 

Das fatale an Passwörtern für browserbasierte Dienste sind sogenannte "shared services" wo man für viele verschiedene Benutzer die selben Login Daten verwendet. Ändern sich diese werden dann per Chat oder mail die neuen Login Daten im Klartext innerhalb der Benutzer verschickt. Auch da setzt aktuelle Malware an und durchsucht Chatverläufe und Emails nach leichtsinning verteilten Login Daten und wenn ich in Chatverläufe schaue tauchen dort früher oder später immer Login Daten auf. :( Inzwischen hat ja jeder den ganzen Krempel zusätzlich auf dem Smartphone und die Hacks von PW Managern in der Vergangenheit geschahen meistens über eine Smartphone Apps - Dashlane z. Bsp und LastPass. 

 

Mein Fazit: Ein Passwortmanager macht echt Sinn aber es gibt viele Punkte zu beachten damit es sicherer wird. Wasserdicht wird es nie. Und da ich die letzte Passwortattacke über Chrome live miterleben konnte hat der Browser in Thema Sicherheit bei mir schon länger verkackt. Die lief auch über eine verwundbare Extension aus dem RAM heraus an und hat in Sekunden die halbe Etage lahmgelegt bzw. haben wir den großen Stecker gezogen nachdem Intrusionmonitore rot blinkten. Bis dahin hatte man sich schon bis zum DC und DNS Server connected, auf dem Weg dahin alle Admin Konten ausgelesen, alle Browserpasswörter, alle DNS Anfragen zu Onlinebanking Seiten auf Fakeseiten umgeleitet usw.... echt spooky. 

Also mein Tipp: Keine Browserextension nutzen.:-)

Wobei man für DAU's evtl eine Ausnahme machen sollte?:hmmm:

 

 

 

 

Link zu diesem Kommentar

@4zap es gibt keine technische Alternative zu Brain 2.0...

 

Euch hätte eine Tier-Trennung geholfen - Domain Admins "Deny Interactive Logon" auf Clients und Member Servern (- ESAE). Und Cached Credentials auf 0 bei Desktops/Servern, auf 1 bei Laptops. Dann hat sich das mit dem Hash aus lokaler SAM auslesen relativ erledigt.

 

Aber das ist auch nur ein kleiner Stein im großen Security-Mosaik.

Link zu diesem Kommentar
vor 6 Stunden schrieb Lian:

Nein, die aktive Anwendung muss im Vordergrund sein. Sonst werden Logindaten im Klartext in ein x-beliebiges Fenster abgespult.

Im Vordergrund ja, aber der Cursor muss nicht im Eingabefeld sein. Wenn ich weiß, wie viele TABs ich brauch um in das Feld zu kommen, geht es auch ohne den Klick in das Eingabefeld.

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...