Google Chrome: Microsoft-Erweiterung erlaubt automatische Log-Ins per Windows-Account
Statt den Edge-Webbrowser durch Windows 10-Zusatzfeatures Nutzern aufs Auge zu drücken, lenkt Microsoft zumindest ein wenig ein und versorgt Google Chrome mit einer Erweiterung, die das direkte Zusammenspiel mit Windows 10 ermöglicht. Wer das Betriebssystem mit einem Microsoft-Account nutzt, kann sich dank dem neuen Add-On künftig automatisch bei webbasierten Microsoft-Diensten und -Webseiten einloggen.
Die Beliebtheit von Microsofts hauseigenem Edge-Browser hält sich stark in Grenzen. Lediglich ein geringer Prozentsatz der Windows 10 -Nutzer bedienen sich des mitgelieferten Webbrowsers. Die Mehrheit greift lieber zu Google Chrome. Statt der Konkurrenz den Kampf anzusagen, beugt sich Microsoft nun dem Willen der Nutzer und implementiert ein bisher exklusives Feature für den Edge-Webbrowser via Erweiterung nun auch in den Google-Browser.
Die Erweiterung "Windows 10 Accounts" ist mittlerweile im Chrome App Store verfügbar und erlaubt Windows 10-Nutzern die Nutzung von Microsoft Online-Diensten ohne zusätzlichen Login, insofern man das aktuelle Microsoft-Betriebssystem mit einem Microsoft-Account nutzt. Zwar könnte man auch schlichtweg seine Account-Daten via Chrome speichern, doch vor allem für diejenigen, die nur ungern ihre sensiblen Daten im Webbrowser hinterlegen, ist die Erweiterung von Nutzen.
Voraussetzung für die Nutzung der Windows 10 Accounts-Erweiterung ist neben Windows 10 auch das Creators Update sowie selbstverständlich ein mit Windows 10 verbundener Microsoft-Account. Der automatische Log-In erfolgt lediglich bei ausgewählten Webservices und Webseiten. Dazu zählen Outlook und Office 365 sowie alle Webseiten die auf dem Microsoft Azure Active Directory basieren. Ob bald auch weitere Windows 10-Features im Google Chrome-Browser Einzug halten, ist momentan unbekannt.

Die Datei liegt im Klartext vor, lässt sich also auch so einfach auslesen.
Ein langes Passwort, das ausschließlich als Hash abgelegt wird ist also deutlich sicherer.
Lösen ließe sich das Problem nur in Hardware mit einem TPM. Das müsste dann den Fingerabdruck prüfen und den Key freigeben. Idealerweise übernimmt es direkt, die Ver-/Entschlüsselung, so das der möglichst zufällige Key nie die Hardware verlassen muss.
Damit wäre aber das Problem mit dem Austricksen noch nicht gelöst, da braucht es bessere Sensoren, die Idealerweise auch die Adern unter der Haut per Infrarot erfassen. Dann würde es auch nur mit einem lebendem Finger funktionieren.
Wie auch oben in dem Link zu lesen ist, erfassen die heutigen einfachen Sensoren gerade mal 10 Teilabdrücke. Damit kann man also gar keine Keys mit 100 Bit oder mehr erzeugen.
Systembedingt müsste es also eigentlich sicherer als ein klassisches Login sein, auf alle Fälle aber nicht unsicherer. Und 100%ige Sicherheit gibt es nicht.
Das ist aus Datenschutzsicht ein Widerspruch.
Dabei ist auch zu bedenken, wie einfach sich die Fingerabdruckscanner austricksen lassen:
Zwei Drittel aller Fingerabdrucksensoren lassen sich mit einem (1) Abdruck uberlisten
Samsung Galaxy S5: Fingerabdruckscanner uberlistet - YouTube
Das man die Logindaten im Browser speichern lassen kann geht schon seit Jahren. Allerdings lassen die sich eben auch sehr leicht auslesen. Da hilft nur eine Verschlüsselung mit einem Masterpasswort, wie gut die in den jeweiligen Browsern implementiert ist, sei mal dahin gestellt.
P.S.: WhatsApp Web ist der vielversprechendste Angriffsvektor auf WhatsApp (Smartphone Trojaner ausgenommen)
Nehmt doch lieber Opera, der hat im Prinzip den gleichen Technik-Unterbau wie Chrome, die Daten sind dabei aber sicherer und es ist auch ein VPN, WhatsApp Leiste usw. eingebaut!