Google: Neue Chrome-Erweiterung gegen Phishing-Attacken

30. April 2015, 11:36
9 Postings

Warnt, wenn auf nicht offizieller Seite das Google-Passwort eingegeben wurde - Künftige Versionen mit Support für andere Seiten

Allen Warnungen zum Trotz: Phishing-Attacken funktionieren noch immer. Eine mehr oder weniger gut gefälscht Webseite reicht, um einen gewissen Prozentsatz der Internet-User dazu zu verleiten, ihr Passwort zu verraten - mit verheerenden Konsequenzen. Die Angreifer können den Account übernehmen, und allerlei Unerfreuliches damit treiben, von der Spam-Kampagne bis zum weiterführenden Einbruch in Firmen-IT-Systeme.

Alarm

Die Realität zeigt schlicht, dass sich viele Nutzer schwer damit tun, die Authentizität einer Seite zuverlässig zu identifizieren. Mit einer neuen Erweiterung für den Chrome-Browser will Google nun zumindest die Konsequenzen solcher Angriffe minimieren. "Password Alert" informiert darüber, wenn auf einer nicht-offiziellen Seite das eigene Google-Passwort eingegeben wurde. Wird so ein Vorfall entdeckt, rät die Erweiterung zur umgehenden Änderung des Passworts, um Angreifer wieder auszusperren

Umsetzung

Damit all dies funktioniert, muss das Passwort natürlich lokal abgespeichert werden, dies passiert als kryptografischer Hash, damit hier keine neue Sicherheitslücke aufgetan wird. Dass die Erkennung nicht bereits vor dem Abschicken des Passworts passiert, hat schlicht Privacy-Gründe: Müssten dafür doch sämtliche Tastatureingaben überwacht werden - was auch aus einer Sicherheitsperspektive keine gute Idee ist.

Keine Wiederverwendung

Ein wohl nicht ganz unbeabsichtigter Nebeneffekt: Die Erweiterung verhindert damit auch, dass das Google-Passwort an anderer Stelle wiederverwendet wird. Für die Zukunft will man die Funktionalität auch für andere Seiten zugänglich machen, so dass die Nutzer dann etwa ihren Bank-Account auf diese Weise schützen können.

Download

Die Erweiterung steht im Chrome Webstore zur Verfügung, nach der Installation muss einmal das Google-Passwort angegeben werden, um sie zu aktivieren. Der Code ist Open Source und kann auf Github eingesehen werden. (apo, 30.4.2015)

  • Artikelbild
    grafik: google
Share if you care.