Ein Blog über Ubuntu, Linux, Android und IT
Secure and unique passwords with PwdHash for Chromium
I really like Google Chrome or Chromium when it comes to get the best performance out of a outdated computer. With Firefox the fan of my notebook gets pretty fast pretty noisy. With Chromium pages load faster and without much strain on the cpu.
But I dearly miss my beloved Firefox extensions. One of them ist PwdHash. With PwdHash you can give every website a secure and unique password. You don’t need a password manager or tricks to remember your complicated password. PwdHash creates a hashed password out of a master password and the URL of the webpage. This way you have unique and save passwords for every site you login. The extension makes the transition from master password plus URL to the hashed password smooth and easy.
I didn’t bother to find a PwdHash-extension for Chromium, but by pure luck I stumbled upon the site of the pwdhash Extension for Google Chrome. It’s easy to install that extension, but Chromium looses the plugin every time you restart the browser.
To install it permanently you’ve got to download the archive, extract the .tar.gz file [1] and start Google Chrome or Chromium. After the browser showed up you enter the line…
chrome://extensions/
as URL [2]. Inside the extension manager click on “Pack extension” [3] and choose the folder you just extracted from the downloaded archive [4]…
Install PwdHash inside Chromium
You should get a message, that a file called pwdhash-chrome.crx has been created. This is your packaged extension. Go again into Chromium and enter “\” on Linux or “C:” on Windows to get into the file browser mode of Chromium. Navigate to the pwdhash-chrome.crx and click on the file to install the extension permanently.
A short note to all the fans of Microsoft Windows… The current version of Google Chrome doesn’t support extensions yet. You need the development version called Chromium. To update Google Chrome go to dev.chromium.org and click under “Subscribing to a channel” on the “Dev channel”. This way you will update Chrome to the current developer edition.
Well, if you read until this point and if you’re to lasy to build PwdHash for Chromium by yourself, you can download my pwdhash-chrome.crx. Just fire up Chromium, go to my blog and click on the link. Chromium will download the extension and install PwdHash for Chromium.
für 279 Euro inklusive Versand.
about 3 months ago
Erstma danke für den Tipp.
Aber, ich guck vorsichtshalber nochma nach wie das neue Passwort heißt. Und bei der allerweltsseite Facebook bekam ich folgendes Passwort generiert: ABCDEFGH
Da gefiel mir mein altes noch besser…
about 3 months ago
Hallo Christoph,
Danke für den Blogeintrag.
Je mehr Leute von Pwdhash erfahren, desto besser. Ich nutze pwdhash für Chromium nun schon ein paar Wochen, und es funktioniert bisher tadellos. Hatte es genau so installiert wie Du. Ich hatte ganz vergessen, Dir zu erzählen, wie man die Erweiterung denn nun einrichtet. Aber jetzt hast Du es ja sowieso selbst geschafft und mich dran erinnert, so kann ich es zumindest beizeiten in den Wiki-Artikel bei ubuntuusers aufnehmen.
Hast Du mal einen Blick in den Quelltext geworfen? Da die Erweiterung ja nicht von der Stanford-Uni direkt stammt, war ich natürlich skeptisch, ob da nicht evtl. alle meine Passwörter an irgendeinen kirgisischen Server weitergeleitet werden
. Aber als ich vor ein paar Wochen in den Quelltext schaute, stand nichts böses drin.
@Piranha
Das klingt wirklich seltsam. Trat das ausschließlich bei Facebook auf oder auf allen Seiten?
about 3 months ago
Ich habe auch lange Zeit pwdhash genutzt. Auf die Dauer war mir das aber zu lästig, weil man, wenn man mal einen anderen Browser nutzten will oder an einem anderen Rechner sitzt, immer die Webseite bemühen muss.
Ich nutze lieber eine andere Methode. Ich habe mir eine zufällige Zeichenfolge mit Buchstaben und Sonderzeichen ausgedacht, die in jedem Passwort gleich ist, gefolgt von einem Merkmal der Webseite. Mal ein Beispiel:
_Me!NfaKeSaLt&linuxundich
Das kann man sich merken und hat trotzdem ein Passwort, das genauso sicher oder unsicher ist wie die von pwdhash. Vielleicht sogar sicherer, weil es reicht, wenn dich einer beim Eingeben deines Passwortes auf pwdhash.com beobachtet.
about 3 months ago
@burli:
Vielleicht aber auch unsicherer, denn wen einmal irgendwo dein Passwort ans Tageslicht kommt, kann der Angreifer es auf anderen Seiten mit dem gleichen Schema machen und kommt so an deine restlichen Passwörter. Ich denke, die Chance ist höher, dass auf irgendeiner Webseite, wo Du dieses Passwort-Schema nutzt, ein Leck ist und die Passwörter der Nutzer ihren Weg zu jemandem finden, als dass mich jemand bei der Nutzung von pwdhash beobachet.
Welche Methode man nun bevorzugt, hängt natürlich auch davon ab, wie viel man an fremden Rechnern sitzt etc.
about 3 months ago
Hey ho. Ich habe versucht mir das Addon zu installieren aber aus irgendwelchen Gründen klappt es nicht.
Als Extension ist es installiert. Wenn ich jedoch F2 und zweimal @@ + passwort eingebe. Wird @@meinpasswort an die Seite übermittelt.
Es scheint als funktioniert das drücken von “F2″ nicht.
Wäre schön, wenn jemand ne Lösung hätte.
Ich benutze Chromium mittel “Ubuntu Tweak” installiert. Meine Version ist “4.0.252.0 (Ubuntu build 32323)”. Ist das die falsche Version?
Gruß
about 3 months ago
Ich hab jetzt erstma eine andere Phrase verwendet. Vielleicht lag das Problem aber auch am Zusammenspiel mit Secure Login.
Das wird schwer, weil die Datenübertragung zur Website verschlüsselt ist.
about 3 months ago
PiranhA, du hattest im Passwort Manager von Firefox dein abgespeichertes Passwort angesehen, oder? Das ist ein Bug, der bei mir auch manchmal passiert. Das abgespeicherte PW @@ABCDEF ist falsch, auf der Webseite wird jedoch mit Sicherheit das “richtige” benutzt. Das ist insofern ärgerlich, dass man in dem Fall einmal auf pwdhash.com das PW generieren und per Copy&Paste in die Webseite eingeben muss, um das richtige PW abspeichern zu können. Mich betrifft das nicht, da ich meine Passwörter nicht im Browser speichern lasse.
Zerwas, ja ich hatte mir den Source schnell angesehen. Böses konnte ich auch nicht entdecken. Auf Golem ging neulich mal wieder der “Tipp” für ein kommerzielles Programm rum, das Passwörter zentral speichert. Brrrr, Schüttel…
about 3 months ago
Hi flux, ich kann das Problem bestätigen. Mit dem aktuellen Build von Chromium (hab gerade auf die selbe Version aktualisiert) will die Erweiterung nicht mehr. Ich benutze die Erweiterung für Chromium noch nicht lange genug, um sagen zu können ob das selten passiert. Zerwas, klappt es bei dir noch?
about 3 months ago
@Zerwas: klar, ich variiere das Schema auch immer ein wenig. Ich nutze nur sehr selten die original URL.
about 3 months ago
Zerwas, klappt es bei dir noch?
Ja, habe keine Probleme mit dem aktuellsten Build (4.0.252.0 (Ubuntu build 32323)), stammt aus dem PPA “chromium-daily”.
Ich habe aber noch eine ältere Version von pwdhash installiert. Ich werde es einmal mit der Version vom 13. November versuchen.
about 3 months ago
Seltsam, habe jetzt die neue Version installiert und wird das Passwort-Feld nach Eingabe von F2 auf einigen Seiten nicht mehr gelb.
about 3 months ago
Also, das Plugin arbeitet bei mir nur sehr widerwillig. Es funktioniert meinstens erst beim zweiten Loginversuch mit F2 bzw. @@. Ab und zu will PwdHash auch gar nich.
about 2 months ago
Was ist nun, wenn eine Website nur Buchstaben und Zahlen zulässt?
about 2 months ago
Hie bas89, die per PwdHash generierten Passwörter enthalten nur Buchstaben und Zahlen
about 2 months ago
Mache ich etwas falsch? Meine Passwörter enthalten Schrägstriche, Plus-Zeichen…?
about 2 months ago
Ich habe es gerade auf pwdhash.com ausprobiert: Wenn man selbst Sonderzeichen eingibt, kommen auch Sonderzeichen raus. Im Quelltext(einfach Quelltext von pwdhash.com angucken) steht auch:
/**
* Fiddle with the password a bit after hashing it so that it will get through
* most website filters. We require one upper and lower case, one digit, and
* we look at the user’s password to determine if there should be at least one
* alphanumeric or not.
*/
Eigentlich top gemacht. Nur hat mein Master-PW halt Sonderzeichen, und manche Websites lassen das nicht zu. So dass ich mir einzeln merken muss, wo Sonderzeichen rein dürfen. Das war aber vor pwdhäsch genauso
about 4 weeks ago
Thanks for this! I miss Firefox extensions too when using Chrome/Chromium