Passwort-Manager in Chrome, Edge und Firefox über Gruppenrichtlinien konfigurieren

    , 05.07.2023
    Tags: , , ,

    Google Chrome, Microsoft Edge, LogosAlle modernen Web-Browser bieten die Möglich­­keit, die Zugangs­daten zu Websites zu speichern und bei der erneuten Anmeldung auto­matisch einzufügen. Dies kann aus Sicher­­heits­­gründen jedoch uner­­wünscht sein. Bei Chrome, Edge und Firefox kann man dieses Feature mit Gruppen­­richt­­linien ent­schärfen oder deaktivieren.

    Die integrierten Passwort-Manager sind ein wesentlicher Beitrag zur Benutzer­freundlichkeit der Browser. Sie erfüllen heute durchaus ähnliche Sicherheits­anfor­derungen wie eigenständige Tools. Sie speichern die Kennwörter verschlüsselt ab und erlauben das Anzeigen der Anmeldedaten nur nach Eingabe des Windows-Passworts bzw. einer biometrischen Authentifizierung.

    Alle drei Browser tragen zur Passwortsicherheit bei, indem sie die Stärke der Kennwörter überwachen und vor der Verwendung kompromittierter oder schwacher Passwörter warnen.

    Synchronisierung als Problem

    Gegen die Nutzung dieses Browser-Features dürfte in vielen Unternehmen sprechen, dass die gespeicherten Passwörter für sensible Anwendungen auf andere, möglicherweise private Geräte synchronisiert werden können.

    Wenn dies der wesentliche Einwand gegen die Passwort-Manager ist, dann erlauben alle drei hier betrachteten Browser eine separate Deaktivierung der Synchronisierung. Die Option zum Speichern der Passwörter könnte man dann weiterhin beibehalten.

    Edge mit dem besten Passwort-Manager

    Während Chrome abgesehen von der Deaktivierung nur relativ wenige Einstellungen zur Konfiguration des Passwort-Managers bietet, wartet Microsoft Edge hier mit zahlreichen Optionen auf.

    Diese spiegeln den wesentlich größeren Funktionsumfang des Microsoft-Browsers wider, der sich nicht vor Tools wie KeePass oder Bitwarden verstecken muss.

    So kann er  (wie Firefox) automatisch starke Passwörter generieren und User dazu zwingen, sich vor dem automatischen Ausfüllen eines Anmeldeformulars zu authentifizieren. Dies soll dem Missbrauch der Kennungen vorbeugen, wenn Fremde physischen Zugang zum PC erhalten.

    Funktionen des aufgewerteten Passwort-Managers in Microsoft Edge

    Diese erweiterten Features veranlassten Microsoft dazu, die Security Baseline für Edge 114 zu ändern und die Deaktivierung des Passwort-Managers nicht mehr zu empfehlen. Nachdem vor allem Chrome nur wenige dieser Fähigkeiten bietet, sollte man nach Microsofts Logik den Passwort-Manager dort abschalten.

    Eine Eigenheit von Edge besteht zudem darin, dass der Passwort-Manager die gespeicherten Anmeldedaten nicht mit dem Microsoft-Browser auf mobilen Geräten synchronisiert, sondern mit der Authenticator App.

    Auf diese Weise kann man die Credentials auf Mobiltelefonen nicht nur automatisch in Edge einfügen, sondern auch in andere Browser, zum Beispiel in Safari auf dem iPhone.

    Google Chrome

    Google speichert die Anmeldedaten nicht nur und füllt sie wieder in Login-Formulare ein, sondern warnt auch vor der Verwendung gehackter und schwacher Kennwörter. Darin erschöpfen sich die Funktionen von Chromes Passwort-Manager aber auch schon.

    Die überschaubaren Einstellungen des Passwort-Managers in Chrome. Er warnt aber vor kompromittierten Kennwörtern.

    Die Gruppenrichtlinien für die Verwaltung des Passwort-Managers finden sich sowohl unter der Computer- als auch der Benutzerkonfiguration, der Pfad ist Richtlinien => Administrative Vorlagen => Google => Google Chrome => Passwortmanager.

    • Aktiviert das Speichern von Passwörtern im Passwortmanager ("Enable saving passwords to the password manager"): Durch Deaktivieren dieser Richtlinie schaltet man den Passwort-Manager ab.

    Chrome bietet in 'Passwortmanager' nur zwei Einstellungen. Zusätzlich lässt sich das Ausfüllen von Kreditkartennummern blockieren.

    Der Google-Browser führt zwar ebenfalls eine Liste mit Websites, für die Kennwörter nicht gespeichert werden sollen. Diese kann man jedoch nur interaktiv, aber nicht über Gruppenrichtlinien befüllen.

    Sensible Informationen können auch durch das automatische Ausfüllen von Adressen und Kreditkartendaten in die falschen Hände geraten. Diese Funktionen lassen sich durch Deaktivieren dieser Einstellungen unter Google Chrome außer Kraft setzen:

    • "Automatisches Ausfüllen" für Adressen aktivieren ("Enable AutoFill for Addresses")
    • "Automatisches Ausfüllen" für Kreditkarten aktivieren ("Disable the policy Enable AutoFill for credit cards")

    Dort findet sich auch die Möglichkeit zur Deaktivierung der Synchronisierung:

    • Synchronisierung der Daten mit Google deaktivieren ("Disable synchronization of data with Google")

    Firefox

    Firefox verfügt über einige Funktionen, die über die Möglichkeiten von Chrome hinausgehen. So kann man starke Kennwörter erzeugen lassen oder die gespeicherten Anmeldedaten mit einem Master-Passwort schützen.

    Einstellungen für den Passwort-Manager von Firefox

    Der Mozilla-Browser liefert einige Gruppenrichtlinien, die sich auf das Passwort-Management beziehen.

    Sie existieren sowohl im Zweig Computer als auch Benutzer, und zwar unter Richtlinien => Administrative Vorlagen => Mozilla => Firefox.

    Gruppenrichtlinien für die Konfiguration des Passwort-Managers in Firefox

    Für das Deaktivieren des Passwort-Managers gibt es zwei Richtlinien:

    • Zugangsdaten und Passwörter für Webseiten speichern ("Offer to save logins")
    • Zugangsdaten und Passwörter für Webseiten speichern (default) ("Offer to save logins (default)")

    Nur die erste der beiden ist verbindlich, die zweite erlaubt es den Benutzern, den Passwort-Manager in den Einstellungen wieder zu aktivieren.

    Firefox kann das Speichern von Passwörtern für bestimmte (kritische) Websites blockieren. Auf diese Blacklist könnte man etwa alle internen Applikationen setzen und den Passwort-Manager ansonsten zulassen. Zuständig dafür ist diese Richtlinie:

    • Passwort Manager Ausnahmen ("Password Manager Exceptions")

    Die Richtlinie Passwort-Manager blendet diesen nur aus den GUI-Einstellungen aus, wenn man sie deaktiviert.

    Die Synchronisierung lässt sich durch Deaktivieren von Firefox-Konten unterbinden:

    • Firefox-Konto deaktivieren ("Disable Firefox accounts")

    Keine Einstellung gibt es bis dato, um das automatische Ausfüllen von Kreditkarten­informationen zu unterbinden.

    Microsoft Edge

    Der Microsoft-Browser bietet Gruppenrichtlinien für alle oben beschriebenen Funktionen des Passwort-Managers, mit denen sich diese deaktivieren oder anpassen lassen.

    Sie finden sich unter Richtlinien => Administrative Vorlagen => Microsoft Edge => Kennwortmanager und -schutz.

    Gruppenrichtlinien zur Verwaltung des Passwort-Managers in Edge

    Um das ganze Feature abzuschalten, deaktiviert man diese Einstellung:

    • Speichern von Kennwörtern im Kennwort-Manager ermöglichen ("Enable saving passwords to the password manager")

    Auch hier besteht die Möglichkeit, für bestimmte Websites das Speichern von Kennwörtern zu verhindern, so dass man den Passwort-Manager nur wegen einiger kritischer Anwendungen nicht deaktivieren muss:

    • Konfigurieren Sie die Liste der Domänen, für die die Kennwort-Manager-Oberfläche (Speichern und Ausfüllen) deaktiviert werden soll ("Configure the list of domains for which the password manager UI (Save and Fill) will be disabled")

    Darüber hinaus kann man URL für interne Websites angeben, für welche die Passwörter stärker geschützt werden (über Salted Hashes):

    • Liste der Unternehmens-Anmelde-URLs konfigurieren, bei denen der Kennwortschutzdienst zufällig gewählte Zeichenfolgen des Kennworts aufzeichnen soll ("Configure the list of enterprise login URLs where the password protection service should capture the salted hashes of a password")

    Die Synchronisierung mit anderen Geräten über die Cloud lässt sich damit blockieren:

    • Synchronisierung von Daten mit Microsoft-Synchronisierungsdiensten deaktivieren ("Disable synchronization of data using Microsoft sync services")

    Diese Einstellung findet sich direkt im Edge-Ordner.

    Automatisches Ausfüllen von Kreditkarteninfos konfigurieren

    Schließlich kann man noch das automatische Ausfüllen von Kreditkarteninformationen unterbinden:

    • AutoAusfüllen für Zahlungsmittel aktivieren ("Enable AutoFill for payment instruments")

    Zusammenfassung

    Die in die führenden Web-Browser integrierten Passwort-Manager erhöhen den Benutzerkomfort, können aber in einigen Umgebungen als Sicherheitsrisiko gesehen werden. Daher bieten Chrome, Edge und Firefox eine Gruppenrichtlinie, mit der man dieses Feature abschalten kann.

    Anstelle dieser radikalen Maßnahme besteht aber die Möglichkeit, nur problematische Funktionen der Passwort-Manager zu deaktivieren. Dazu zählen die Synchronisierung sowie der Ausschluss von sensiblen Web-Anwendungen, so dass deren Kennwörter nicht gespeichert werden. Letzteres gibt es nur bei Edge und Firefox.

    Ein richtig konfigurierter Passwort-Manager kann die Sicherheit erhöhen, weil alle drei Produkte vor der Verwendung schwacher oder kompromittierter Kennwörter warnen. Sie bewahren die Benutzer zudem davor, die Zugangsdaten auf Papier zu notieren oder auf unsichere Weise in einer Textdatei zu speichern.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Wolfgang Sommergut

    Wolfgang Sommergut hat lang­jährige Erfahrung als Fach­autor, Berater und Kon­ferenz­sprecher zu ver­schie­denen Themen der IT. Da­ne­ben war er als System­ad­mi­ni­stra­tor und Con­sultant tätig.
    // Kontakt: E-Mail, XING, LinkedIn //

    Verwandte Beiträge

    Weitere Links