Browser-Erweiterungen sicher betreiben

Passwortmanager-Erweiterungen brauchen Zugriff auf Webseiteninhalte, um Formulare zu erkennen und Daten einzutragen. Damit verfügen sie potentiell über sehr weitreichende Rechte im Browser.

Andere installierte Erweiterungen haben oft ähnliche Rechte. Eine kompromittierte Drittanbieter-Erweiterung kann theoretisch Eingaben mitlesen, bevor sie der Passwortmanager überhaupt sieht.

Ein gut gewählter Passwortmanager wird seine Erweiterung sorgfältig pflegen. Das gleiche gilt aber nicht für alle anderen Add-ons im selben Browser. Jede zusätzliche Erweiterung erweitert die Angriffsfläche.

Wer den Passwortmanager-Browser sauber hält, gewinnt einen großen Teil der Sicherheit, die die Architektur des Tresors überhaupt verspricht.

• Unsignierte oder gefälschte Erweiterungen aus inoffiziellen Quellen
• Übernommene oder verkaufte Add-ons, die nach einem Update plötzlich schadhaft sind
• Zu viele installierte Erweiterungen mit weitreichenden Rechten
• Veraltete Browser ohne aktuelle Sicherheits-Patches

• Nur offizielle Passwortmanager-Erweiterungen aus den jeweiligen Browser-Stores installieren
• Liste der Erweiterungen regelmäßig prüfen und nicht genutzte Add-ons entfernen
• Berechtigungen "auf allen Webseiten lesen" nur dort zulassen, wo es wirklich nötig ist
• Automatische Updates für Browser und Erweiterungen aktiv lassen
• Sensible Aufgaben (z. B. Banking) optional in einem separaten Browser-Profil mit weniger Add-ons erledigen

• "Erweiterungen aus dem offiziellen Store sind immer sicher" - auch dort kommt es immer wieder zu Übernahmen
• "Inkognito-Modus schützt vor schadhaften Erweiterungen" - viele Erweiterungen laufen dort weiter
• "Mehr Erweiterungen heißt mehr Schutz" - jede zusätzliche Erweiterung ist potentiell ein zusätzliches Risiko

Eine offizielle Passwortmanager-Erweiterung in einem sauberen, aktuellen Browser ist deutlich sicherer als die meisten Alternativen. Voraussetzung ist, dass der Browser selbst nicht zur Schwachstelle wird.