Linux und Ich

Blog über Ubuntu, Linux, Android und IT

Sichere Passwörter mit PwdHash für Google Chrome bzw. Chromium

Sichere Passwörter mit PwdHash für Google Chrome bzw. Chromium

| 19 Kommentare

Ob man nun Google Chrome oder Chromium mag oder nicht, dass muss Jeder für sich selber entscheiden, doch eines ist klar: Chromium ist ein ziemlich flotter Browser. Ich benutze ihn recht gerne auf einem leistungsschwachen Notebook, das unter Firefox praktisch bei jedem Öffnen einer Webseite anfängt zu lüften.

Doch das Fehlen von mir wichtigen Erweiterungen hindert mich von Anfang an Chromium als echte Alternative zu Firefox zu betrachten. Das für mich wichtigste Add-On PwdHash, über das sich sichere und individuelle Passwörter in Webseiten eingeben lassen, fehlt mir doch merklich.

Kleiner Abstecher: PwdHash ist eine Methode individuelle und sichere Passwörter für Webseiten zu Generieren und Einzugeben, ohne dass man sich dabei komplizierte Passwörter merken müsste. Ich persönlich möchte ohne PwdHash gar nicht mehr auskommen. Weitere Informationen findet ihr im Beitrag: Sichere Passwörter für Webseiten mit PwdHash.

Seit einer Weile gibt es nun schon eine PwdHash-Erweiterung für Chromium, doch bislang war es mir nicht gelungen, sie fest in den Browser einzubinden. Die Erweiterung war immer nach einem Neustart des Browsers weg. Die permanente Installation ist eigentlich recht einfach. Man lädt das Archiv herunter, entpackt die .tar.gz Datei [1] und startet Chrome bzw. Chromium. Dort gibt man

chrome://extensions/

als URL ein [2] und klickt auf “Pack extension” [3]. Im darauf folgenden Dialog muss man nun nur noch den Pfad zum vorhin entpackten Ordner angeben.

PwdHash für Chromium installieren.

Dadurch wird im selben Verzeichnis eine Datei namens pwdhash-chrome.crx erzeugt. Dies ist die fertig verpackte Erweiterung. Nun gibt man in die Adresszeile von Chromium einfach einen Backslash “” ein und hangelt sich bis zur pwdhash-chrome.crx durch. Ein Klick auf die Datei installiert die Erweiterung. Das Vorgehen ist unter Windows identisch, allerdings kommt Ihr dort über die Eingabe von bspw. “C:” auf die Festplatte.

Kleiner Hinweis für Freunde des Fensters… Die aktuelle offizielle Version von Google Chrome besitzt noch keine Möglichkeit diese Erweiterung zu verwenden. Ihr braucht die Entwicklungsversion von Chrome, sprich Chromium. Geht daher auf dev.chromium.org und klickt unter “Subscribing to a channel” auf den Link zum “Dev channel”. Darüber wird dann Google Chrome zu Chromium aktualisiert.

Wer bis hierhin durchgehalten hat und keine Lust hat das Erweiterungs-Paket selber zu generieren, der kann die von mir erstellte Datei nutzen. Klickt einfach diesen Download an pwdhash-chrome.crx und schon wird PwdHash für Chrome/Chromium installiert.

Autor: Christoph

Hallo, ich bin Christoph -- Linux-User, Blogger und pragmatischer Fan freier Software. Wie Ihr ohne Zweifel bemerkt haben solltet schreibe ich hier über Linux im Allgemeinen, Ubuntu im Speziellen, sowie Android und andere Internet-Themen. Wenn du Freude an meinen Artikel gefunden haben solltest, dann kannst du mir über Facebook, Google+ oder Twitter oder natürlich dem Blog folgen.

19 Kommentare

  1. Erstma danke für den Tipp.
    Aber, ich guck vorsichtshalber nochma nach wie das neue Passwort heißt. Und bei der allerweltsseite Facebook bekam ich folgendes Passwort generiert: ABCDEFGH
    Da gefiel mir mein altes noch besser…

  2. Hallo Christoph,

    Danke für den Blogeintrag. :) Je mehr Leute von Pwdhash erfahren, desto besser. Ich nutze pwdhash für Chromium nun schon ein paar Wochen, und es funktioniert bisher tadellos. Hatte es genau so installiert wie Du. Ich hatte ganz vergessen, Dir zu erzählen, wie man die Erweiterung denn nun einrichtet. Aber jetzt hast Du es ja sowieso selbst geschafft und mich dran erinnert, so kann ich es zumindest beizeiten in den Wiki-Artikel bei ubuntuusers aufnehmen.

    Hast Du mal einen Blick in den Quelltext geworfen? Da die Erweiterung ja nicht von der Stanford-Uni direkt stammt, war ich natürlich skeptisch, ob da nicht evtl. alle meine Passwörter an irgendeinen kirgisischen Server weitergeleitet werden ;-). Aber als ich vor ein paar Wochen in den Quelltext schaute, stand nichts böses drin.

    @Piranha
    Das klingt wirklich seltsam. Trat das ausschließlich bei Facebook auf oder auf allen Seiten?

  3. Ich habe auch lange Zeit pwdhash genutzt. Auf die Dauer war mir das aber zu lästig, weil man, wenn man mal einen anderen Browser nutzten will oder an einem anderen Rechner sitzt, immer die Webseite bemühen muss.

    Ich nutze lieber eine andere Methode. Ich habe mir eine zufällige Zeichenfolge mit Buchstaben und Sonderzeichen ausgedacht, die in jedem Passwort gleich ist, gefolgt von einem Merkmal der Webseite. Mal ein Beispiel:

    _Me!NfaKeSaLt&linuxundich

    Das kann man sich merken und hat trotzdem ein Passwort, das genauso sicher oder unsicher ist wie die von pwdhash. Vielleicht sogar sicherer, weil es reicht, wenn dich einer beim Eingeben deines Passwortes auf pwdhash.com beobachtet.

  4. @burli:

    Vielleicht aber auch unsicherer, denn wen einmal irgendwo dein Passwort ans Tageslicht kommt, kann der Angreifer es auf anderen Seiten mit dem gleichen Schema machen und kommt so an deine restlichen Passwörter. Ich denke, die Chance ist höher, dass auf irgendeiner Webseite, wo Du dieses Passwort-Schema nutzt, ein Leck ist und die Passwörter der Nutzer ihren Weg zu jemandem finden, als dass mich jemand bei der Nutzung von pwdhash beobachet.

    Welche Methode man nun bevorzugt, hängt natürlich auch davon ab, wie viel man an fremden Rechnern sitzt etc.

  5. Hey ho. Ich habe versucht mir das Addon zu installieren aber aus irgendwelchen Gründen klappt es nicht.
    Als Extension ist es installiert. Wenn ich jedoch F2 und zweimal @@ + passwort eingebe. Wird @@meinpasswort an die Seite übermittelt.
    Es scheint als funktioniert das drücken von “F2″ nicht.
    Wäre schön, wenn jemand ne Lösung hätte.

    Ich benutze Chromium mittel “Ubuntu Tweak” installiert. Meine Version ist “4.0.252.0 (Ubuntu build 32323)”. Ist das die falsche Version?

    Gruß

  6. Ich hab jetzt erstma eine andere Phrase verwendet. Vielleicht lag das Problem aber auch am Zusammenspiel mit Secure Login.

    weil es reicht, wenn dich einer beim Eingeben deines Passwortes auf pwdhash.com beobachtet.

    Das wird schwer, weil die Datenübertragung zur Website verschlüsselt ist.

  7. PiranhA, du hattest im Passwort Manager von Firefox dein abgespeichertes Passwort angesehen, oder? Das ist ein Bug, der bei mir auch manchmal passiert. Das abgespeicherte PW @@ABCDEF ist falsch, auf der Webseite wird jedoch mit Sicherheit das “richtige” benutzt. Das ist insofern ärgerlich, dass man in dem Fall einmal auf pwdhash.com das PW generieren und per Copy&Paste in die Webseite eingeben muss, um das richtige PW abspeichern zu können. Mich betrifft das nicht, da ich meine Passwörter nicht im Browser speichern lasse.

    Zerwas, ja ich hatte mir den Source schnell angesehen. Böses konnte ich auch nicht entdecken. Auf Golem ging neulich mal wieder der “Tipp” für ein kommerzielles Programm rum, das Passwörter zentral speichert. Brrrr, Schüttel…

  8. Hi flux, ich kann das Problem bestätigen. Mit dem aktuellen Build von Chromium (hab gerade auf die selbe Version aktualisiert) will die Erweiterung nicht mehr. Ich benutze die Erweiterung für Chromium noch nicht lange genug, um sagen zu können ob das selten passiert. Zerwas, klappt es bei dir noch?

  9. @Zerwas: klar, ich variiere das Schema auch immer ein wenig. Ich nutze nur sehr selten die original URL.

  10. Zerwas, klappt es bei dir noch?
    Ja, habe keine Probleme mit dem aktuellsten Build (4.0.252.0 (Ubuntu build 32323)), stammt aus dem PPA “chromium-daily”.

    Ich habe aber noch eine ältere Version von pwdhash installiert. Ich werde es einmal mit der Version vom 13. November versuchen.

  11. Seltsam, habe jetzt die neue Version installiert und wird das Passwort-Feld nach Eingabe von F2 auf einigen Seiten nicht mehr gelb.

  12. Pingback: Peng’s links for Sunday, 22 November « I’m Just an Avatar

  13. Pingback: Sichere Passwörter mit PwdHash für Google Chrome bzw. Chromium | Linux und Ich | Banedon's Cyber-Junk

  14. Also, das Plugin arbeitet bei mir nur sehr widerwillig. Es funktioniert meinstens erst beim zweiten Loginversuch mit F2 bzw. @@. Ab und zu will PwdHash auch gar nich.

  15. Was ist nun, wenn eine Website nur Buchstaben und Zahlen zulässt?

  16. Hie bas89, die per PwdHash generierten Passwörter enthalten nur Buchstaben und Zahlen ;)

  17. Mache ich etwas falsch? Meine Passwörter enthalten Schrägstriche, Plus-Zeichen…?

  18. Ich habe es gerade auf pwdhash.com ausprobiert: Wenn man selbst Sonderzeichen eingibt, kommen auch Sonderzeichen raus. Im Quelltext(einfach Quelltext von pwdhash.com angucken) steht auch:
    /**
    * Fiddle with the password a bit after hashing it so that it will get through
    * most website filters. We require one upper and lower case, one digit, and
    * we look at the user’s password to determine if there should be at least one
    * alphanumeric or not.
    */

    Eigentlich top gemacht. Nur hat mein Master-PW halt Sonderzeichen, und manche Websites lassen das nicht zu. So dass ich mir einzeln merken muss, wo Sonderzeichen rein dürfen. Das war aber vor pwdhäsch genauso ;)

  19. Thanks for this! I miss Firefox extensions too when using Chrome/Chromium :(

Hinterlasse eine Antwort

Auf Linux und Ich darf anonym kommentiert werden. Die Felder für Name und E-Mail-Adresse dürfen beim Eintragen eures Kommentars leer bleiben. Ich freue mich aber über jeden Kommentar, zu dem der Autor mit seinem Namen steht.