Chrome-Passwörter auslesen – ohne das PC-Kontokennwort zu kennen

764Wörter ·4Min.
https://de.andytips.com/security/chrome-password-extraction-without-pc-password/
Inhaltsverzeichnis

Dies ist Teil 3 der Chrome-Passwort-Hacking-Serie.

Im vorherigen Artikel haben wir gezeigt, wie einfach gespeicherte Passwörter ausgelesen werden können,
wenn jemand das PC-Kontokennwort kennt.

In diesem Beitrag geht es darum, wie Chrome-Passwörter selbst dann extrahiert werden können,
wenn das PC-Kontokennwort nicht bekannt ist.

Auch hierbei handelt es sich nicht um Remote-Hacking,
sondern um einen lokalen Angriff (Local Attack) – also um eine Situation, in der jemand kurzzeitig physischen Zugriff auf deinen PC hat.

Eine weitere Sicherheitslücke in Chromes Passwort-Autofill

Die Autofill-Funktion von Chrome erleichtert den Login-Prozess erheblich.
Schaut man jedoch genauer auf den technischen Aufbau, wird klar:
Passwörter können ausgelesen werden, sobald der Bildschirm entsperrt ist – selbst ohne Kenntnis des PC-Kontokennworts.

In diesem Artikel erklären wir, wie eine Person ohne PC-Passwort,
aber mit kurzem Zugang zu einem unbeaufsichtigten PC,
alle in Chrome gespeicherten Passwörter extrahieren kann.

Beginnen wir mit Alltagssituationen, in denen so etwas passieren kann.

Die Gefahr lokaler Angriffe (Local Attacks)

Normalerweise sperren wir den Bildschirm, wenn wir den Platz verlassen.
Doch im hektischen Arbeitsalltag, beim schnellen Gang zum Kaffeeautomaten
oder beim kurzen Annehmen eines Telefonats
vergisst man die Bildschirmsperre schnell einmal.

Hinzu kommt, dass Windows die automatische Sperre oft auf 5 oder 10 Minuten eingestellt hat –
ein großzügiges Zeitfenster.

Lokale Angreifer nutzen genau solche Momente.
Wenn der Bildschirm entsperrt ist und der Browser offen steht,
können Passwörter ohne weitere Informationen ausgelesen werden.

Die Struktur der Autofill-Passwörter

Ein automatisch ausgefülltes Passwortfeld wird auf dem Bildschirm als •••• dargestellt,
doch im Browser ist das Passwort bereits im Klartext vorhanden.

Das HTML-Element <input type="password">
verbirgt das Passwort lediglich optisch –
der tatsächliche Wert liegt im value-Attribut des DOM-Elements.

Deshalb kann dieser Wert über die Entwickler-Tools oder über einfache Skripte problemlos ausgelesen werden.
Diese technische Struktur ermöglicht lokale Angriffe überhaupt erst.

Methode 1: Entwickler-Tools nutzen

Mit den integrierten Entwickler-Tools (Developer Tools) lassen sich automatisch ausgefüllte Passwörter direkt anzeigen.
JavaScript-Kenntnisse sind dafür nicht erforderlich.

  1. Öffne eine Login-Seite, auf der das Passwort automatisch ausgefüllt ist.
  2. Stelle sicher, dass das Passwortfeld mit Punkten (••••) gefüllt ist.
  3. Rechtsklick auf das Passwortfeld.
  4. Wähle Untersuchen (Inspect).
  5. Die Entwickler-Tools öffnen sich und markieren den entsprechenden HTML-Code.
  6. Suche das Element <input type="password" ...>.
  7. Notiere das id- oder name-Attribut.
  8. Wechsle zum Tab Console.
  9. Gib diesen Befehl ein:
    (ersetze 'password' durch die zuvor notierte tatsächliche ID) 
    console.log(document.getElementById('password').value);
  10. Drücke Enter – das Passwort erscheint im Klartext.
    Der Ablauf wirkt etwas lang, dauert aber weniger als 30 Sekunden, wenn man ihn einmal ausgeführt hat.

Methode 2: Firefox nutzen

Die zweite Methode nutzt die Firefox-Funktion „Daten aus einem anderen Browser importieren“.
Da es sich um eine eingebaute Standardfunktion handelt, ist sie besonders einfach.

  1. Lade Firefox herunter und installiere es.
  2. Beim ersten Start erscheint das Fenster „Daten aus einem anderen Browser importieren“.
  3. Wähle Chrome aus.
  4. Aktiviere die Option Login-Informationen (Passwörter).
  5. Klicke auf Weiter – Chrome-Passwörter werden nach Firefox importiert.
  6. Öffne in Firefox die Passwortverwaltung: about:logins.
  7. Alle Benutzernamen und Passwörter werden im Klartext angezeigt.
  8. Über Passwörter exportieren (Export) kannst du alle Daten als CSV speichern.

Erstaunlicherweise fragt Firefox beim Anzeigen gespeicherter Passwörter nicht nach dem PC-Kontokennwort.
Zudem lassen sich Chrome-Passwörter über die Importfunktion mit nur wenigen Klicks übertragen.

Strukturelle Risiken durch Komfortfunktionen

Beide Methoden erfordern keinerlei spezielle Hacking-Tools oder technische Vorkenntnisse.

Es klingt absurd, aber mit Firefox lassen sich alle in Chrome gespeicherten Passwörter anzeigen –
vorausgesetzt, der Bildschirm ist entsperrt.

Wenn jemand in deinem Umfeld entschlossen ist, deine Chrome-Passwörter zu stehlen,
wartet diese Person einfach den Moment ab, in dem du kurz den Platz verlässt.
In wenigen Minuten kann Firefox installiert werden, und sämtliche gespeicherten Passwörter können extrahiert werden.

Ein kurzer ungesicherter Moment kann zu einer vollständigen Kontoübernahme führen –
insbesondere auf gemeinsam genutzten PCs, Bürorechnern oder Familiencomputern.

Die Autofill-Funktion dient dem Komfort, nicht der Sicherheit –
das sollte man klar verstehen.

Doch wie geht man damit um?
Ganz auf die automatische Passwortvervollständigung zu verzichten, ist kaum realistisch.

Im nächsten Artikel erklären wir, wie man solche Risiken vermeiden
und Passwörter sicher und dennoch komfortabel verwalten kann –
mit einem dedizierten Passwortmanager wie KeePassXC.

Artikelserie:

💡 Verwandter Beitrag

Ist Chromes automatische Passwortvervollständigung wirklich sicher? Die tatsächlichen Risiken gespeicherter Passwörter

Die Autofill-Funktion von Chrome ist praktisch, aber gespeicherte Passwörter können leichter als erwartet offengelegt werden.
Dieser Artikel erklärt die Struktur und Schwachstellen der automatischen Vervollständigung.

💡 Verwandter Beitrag

Chrome-Passwörter auslesen – wenn das PC-Kontokennwort bekannt ist

Wer dein PC-Passwort kennt, kann in wenigen Minuten alle in Chrome gespeicherten Passwörter anzeigen und extrahieren.
Hier wird der Prozess Schritt für Schritt erklärt.

💡 Verwandter Beitrag

KeePassXC Passwortverwaltung – eine deutlich sicherere Methode

Mit KeePassXC kannst du Passwörter erheblich sicherer verwalten und die Autofill-Funktion geschützt nutzen.
Alle Zugangsdaten werden über ein Master-Passwort abgesichert.