Chrome, Firefox, Safari und Co.: Warum sie Passwörter nicht speichern sollten

Viele Browser bieten an, eingegebene Passwörter zu speichern. Das ist bequem. Doch ist es auch sicher? Hier erfahren Sie, was es zu beachten gilt, wenn man die Funktion nutzt.

Arbeiten, shoppen, nachschlagen, mit Freunden vernetzen: Wer viele Aufgaben im Internet erledigt, sollte seine Konten mit unterschiedlichen, schwer zu knackenden Kennwörtern absichern. Viele Browser bieten dabei eine komfortable Hilfestellung: Mit einem Klick lassen sich die Log-in-Daten abspeichern, sodass man sie beim nächsten Besuch nicht erneut eingeben muss. Doch ist es wirklich eine gute Idee, seine Zugangsdaten dem Browser anzuvertrauen?

Was passiert, wenn man Passwörter im Browser speichert?

Christian Lueg von der IT-Sicherheitsfirma Eset hat eine klare Meinung dazu: "Wir würden generell davon abraten, Passwörter direkt im Browser abzuspeichern", sagt er. Dabei spiele es keine Rolle, ob der Browser die Daten verschlüsselt in der Cloud oder lokal auf der Festplatte des Nutzers ablege.

"Das Problem ist, dass die Kennwörter auf dem Endgerät teilweise entschlüsselt vorliegen", sagt Lueg. "Dadurch kann jeder mit einem Zugriff auf das Gerät die Daten problemlos auslesen." Andere Anwender, die denselben Rechner nutzen, könnten beispielsweise die Exportfunktion des Browsers nutzen, um sich sämtliche gespeicherte Log-in-Daten im Klartext anzeigen zu lassen.

Eine Ausnahme stellt hier Apples Browser Safari dar. Hier werden alle Passwörter in einem zentralen, systemweiten Passwort-Safe gespeichert, dem Schlüsselbund. Ohne Passwort lassen sich diese Daten eigentlich nicht auslesen. Standardmäßig muss beim automatischen Ausfüllen von Zugangsdaten stets das Gerätepasswort (Mac) oder die Entsperrungs-PIN (iPhone/iPad) eingegeben werden. Alternativ klappt das auch per Fingerabdruck (neuere Macs/ältere iPhones) oder Face ID (neuere iPhones/iPads).

BSI warnt vor Datenlecks

Bei Windows gibt es solch einen zentralen Passwort-Safe nicht. Wird ein PC von mehreren Personen genutzt, rät das Bundesamt für Sicherheit in der Informationstechnik (BSI), mehrere Benutzerkonten im Browser einzurichten, die den Zugang zu persönlichen Daten beschränken.

Dennoch bleiben Risiken, warnt das BSI: "Im Browser integrierte Passwort-Manager erleichtern zwar den Umgang mit Passwörtern, haben aber den Nachteil, dass die gespeicherten Zugangsdaten relativ einfach von Schadsoftware extrahiert und somit von einem Angreifer missbraucht werden können", teilt ein Sprecher auf Nachfrage mit.

Was Nutzer jetzt tun sollten

Wer bereits seine Passwörter im Browser hinterlegt hat, kann diese manuell wieder löschen. Sowohl unter Google Chrome als auch Firefox finden sich die Passwort-Einstellungen im Menü "Datenschutz und Sicherheit". Das BSI empfiehlt, die Funktion "Passwörter speichern" für die Zukunft zu deaktivieren oder zumindest zusätzliche Sicherheitsvorkehrungen zu treffen.

Unter Mozilla Firefox gibt es beispielsweise die Möglichkeit, hinterlegte Log-in-Daten durch den integrierten Passwort-Manager "Lockwise" mit einem Masterpasswort zu schützen. Nur wer das kennt, kann auf die Kennwörter zugreifen.

Laut dem IT-Sicherheitsexperten Lueg kann auch die Zwei-Faktor-Authentifizierung (2FA) verhindern, dass sich Unbefugte mithilfe "geklauter" Passwörter in das Nutzerkonto einloggen. Weitere Informationen dazu finden Sie hier.

Die sicherere Alternative: Passwort-Manager

Als sichere Alternative zu den Browser-basierten Lösungen empfehlen alle Experten die Nutzung von sogenannten Passwort-Managern. Damit können sich Nutzer das ständige Eintippen von E-Mail-Adresse und Kennwort ebenfalls sparen. Dabei werden die Passwörter in der Regel aber sicherer verwahrt als im Browser. Je nach Software und Anbieter werden die Daten entweder verschlüsselt in der Cloud oder lokal auf dem Rechner des Nutzers abgelegt.

Ein Masterkennwort oder ein physischer Schlüssel schützt den Passwortspeicher vor fremden Zugriffen. Um sich auf Webseiten einzuloggen, genügt dann häufig eine bestimmte Tastenkombination, mit der die Log-in-Daten aus der Software in das Browserfenster übertragen werden.

Ein Safe in der Cloud

Ein Passwort-Safe in der Cloud hat den zusätzlichen Vorteil, dass der Nutzer von allen Geräten und Plattformen darauf zugreifen kann – er ist also nicht auf einen bestimmten Browser angewiesen. Allerdings sind die Dienste häufig kostenpflichtig. Hier erfahren Sie, welchen kostenlosen Dienst die Stiftung Warentest empfiehlt.

Auch der Sicherheitsexperte Lueg schwört auf einen Passwort-Safe in der Cloud. Anfangs sei die Bedienung zwar teilweise gewöhnungsbedürftig. Doch schon nach kurzer Zeit seien die Dienste fast genauso komfortabel wie die Browserfunktionen nutzbar – und gleichzeitig viel sicherer.