Hallo zusammen,

kennt jemand eine Möglichkeit, wie ich meinen Google Chrome verschlüsseln kann, sodass jemand, der sich Zugriff auf meinen Rechner verschafft, nicht all meine gespeicherten Passwörter, ja, am besten nicht einmal eine Chronik hat?

Natürlich könnte ich sowas verrücktes machen, wie meinen Chrome in einen Veracrypt-Container zu packen, ähnliches habe ich in der Vergangenheit bereits ausprobiert, doch es ist viel zu aufwändig.

Am liebsten hätte ich eine Lösung, die beim Öffnen des Browsers einfach nach einem Passwort fragt.

Natürlich habe ich auch Daten in meinem Google Konto hinterlegt, auf welches man allerdings ebenfalls keinen Zugriff haben sollte, wenn der Chrome verschlüsselt ist.

Nutz einfach die Vollverschlüsselung deines Betriebssystems und verschlüssle deine gesamte Platte.

richtig, schreit nach Bitlocker oder VeraCrypt

Ich verwende Veracrypt bereits, da ich jedoch dauerhaft immer irgendwann Probleme damit bekam, habe ich meine Systemplatte nicht verschlüsselt, das tue ich mir nie wieder an. Auf meinem Dienstlaptop ist das natürlich etwas anderes, da ist alles mit Bitlocker verschlüsselt.

Weiterhin habe ich die Laufwerke, welche ich ständig verwende, natürlich immer gemounted und somit könnte Besuch bei mir am Rechner problemlos auf den Chrome zugreifen. Daher suche ich wie geschrieben nach einer Möglichkeit, dass ich nach einem Passwort gefragt werde, wenn ich den Browser öffne. Weiterhin will ich selbst nicht immer manuell irgend einen scheiß Container mounten, wenn ich mit meinem Browser surfen will.

https://www.howtogeek.com/282979/how-to-lock-your-google-chrome-profile-with-a-password/

EFS bietet sich da an - wer den nutzen will - muss was eingeben

https://gzhls.at/i/95/67/1449567-m0.jpg
Du könntest ein hardwareverschlüsseltes Festplatten-Gehäuse verwenden (gibt es ab 30 Euro) und da eine kleine SSD reinpacken. Da kommt dann noch ein portabler Chrome drauf. Sobald der PC aus ist oder die Festplatte abgesteckt wird, sind deine Sachen sicher.

Ich verwende Veracrypt bereits, da ich jedoch dauerhaft immer irgendwann Probleme damit bekam, habe ich meine Systemplatte nicht verschlüsselt, das tue ich mir nie wieder an. Auf meinem Dienstlaptop ist das natürlich etwas anderes, da ist alles mit Bitlocker verschlüsselt.

Ich habe auch nie so ganz verstanden, warum man Truecrypt / Veracrypt heute noch zur Vollverschüsselung benutzen sollte. Praktisch alle Betriebssysteme bieten eine native Vollverschlüsselung an, die sehr wahrscheinlich problemloser funktioniert.

Für meine wenigen Daten auf externen Medien bevorzuge ich auch eher so Overlay-Dateisysteme wie gocryptfs / cppcryptfs, einfach weil sie deutlich einfacher zu handhaben und platztechnisch effizienter sind als verschlüsselte Container.

Weiterhin habe ich die Laufwerke, welche ich ständig verwende, natürlich immer gemounted und somit könnte Besuch bei mir am Rechner problemlos auf den Chrome zugreifen. Daher suche ich wie geschrieben nach einer Möglichkeit, dass ich nach einem Passwort gefragt werde, wenn ich den Browser öffne. Weiterhin will ich selbst nicht immer manuell irgend einen scheiß Container mounten, wenn ich mit meinem Browser surfen will.

Was spricht gegen Bitlocker zur Vollverschlüsselung und Veracrypt (oder ähnliches) für externe Medien zu nutzen?

https://gzhls.at/i/95/67/1449567-m0.jpg
Du könntest ein hardwareverschlüsseltes Festplatten-Gehäuse verwenden (gibt es ab 30 Euro) und da eine kleine SSD reinpacken. Da kommt dann noch ein portabler Chrome drauf. Sobald der PC aus ist oder die Festplatte abgesteckt wird, sind deine Sachen sicher.

Inwiefern ist das komfortabler als ein verschlüsseltes Volume / Container auf eine externe Festplatte zu schieben? Wenn das Gehäuse jemals abraucht und Ersatz nicht mehr verfügbar ist, kann er seine Daten nicht mehr wiederherstellen.

https://www.howtogeek.com/282979/how-to-lock-your-google-chrome-profile-with-a-password/

Das hier + Bitlocker hört sich doch eigentlich nach einer ganz guten Lösung an.

Das hört sich wirklich nach einer ganz guten Lösung an. Außer meiner Systemplatte ist sowieso alles mit Veracrypt verschlüsselt.

Inwiefern ist das komfortabler als ein verschlüsseltes Volume / Container auf eine externe Festplatte zu schieben?

Hardwareverschlüsselungen belasten nicht die CPU. Daher läuft auch an einem langsamen System oder altem Rechner diese Verschlüsselung/Entschlüsselung schnell ab. Ebenso auch an beliebigen, alten und sogar exotischen Betriebssystemen kann er dieses Gehäuse einsetzen. Das ist meiner Ansicht nach durchaus komfortabel. Und auch sicherer, weil das Passwort nicht mit einem Keylogger aufgezeichnet werden kann.

Wenn das Gehäuse jemals abraucht und Ersatz nicht mehr verfügbar ist, kann er seine Daten nicht mehr wiederherstellen.

Soll das heißen, du empfiehlst ihm seine wichtigen Daten und Passwörter nur auf einen verschlüsselten USB-Laufwerk abzulegen ohne irgendwo ein Backup anzulegen ? Denn falls ja, dann wäre dies sehr fahrlässig. Und falls nein, dann schützt ihn dieses Backup auch bei diesem hardwareverschlüsselten Datenträger.

Hardwareverschlüsselungen belasten nicht die CPU. Daher läuft auch an einem langsamen System oder altem Rechner diese Verschlüsselung/Entschlüsselung schnell ab. Ebenso auch an beliebigen, alten und sogar exotischen Betriebssystemen kann er dieses Gehäuse einsetzen. Das ist meiner Ansicht nach durchaus komfortabel.

Praktisch jede moderne CPU beschleunigt AES in Hardware. Man braucht heute keinen separaten Chip. Die CPUs bringen schon AES-NI oder ähnliches mit und schaufeln mehrere Gigabyte pro Sekunde ohne CPU-Last.

Für schwache Rechner sollte man irgendeine Streamcipher wie ChaCha20 nutzen.

Und auch sicherer, weil das Passwort nicht mit einem Keylogger aufgezeichnet werden kann.

Ob das praktisch sicherer ist oder nicht, kann man schlecht beantworten. Viele dieser dedizierten Chips hatten in der Vergangenheit klaffende Sicherheitslücken. Man findet leider auch keine Informationen zum verbauten Chip. Man findet nicht einmal Informationen zum verwendeten Betriebsmodus.

Soll das heißen, du empfiehlst ihm seine wichtigen Daten und Passwörter nur auf einen verschlüsselten USB-Laufwerk abzulegen ohne irgendwo ein Backup anzulegen ? Denn falls ja, dann wäre dies sehr fahrlässig. Und falls nein, dann schützt ihn dieses Backup auch bei diesem hardwareverschlüsselten Datenträger.

Ich empfehle ihm, möglichst nicht seine gesamten Daten an die Verfügbarkeit eines proprietären Chips zu koppeln, der seine Datenträger verschlüsselt. Weder für Backups noch für sonst irgendetwas.

Was spricht dagegen, den Chrome gar nicht zu nutzen?

Was spricht dagegen, den Chrome gar nicht zu nutzen?

Nichts, aber es würde am Problem nichts ändern. Alle großen Browser haben das Threat Model Dritte-sitzen-am-Rechner-wenn-ich-ihn-entsperrt-habe als etwas eingestuft, was das Betriebssystem behandeln muss und nicht der Browser. Daher wirst du zu dem Problem auch nur geschlossene Issues in den Bugtrackern der Browser finden, die darauf verweisen, dass du die Vollverschlüsselung deines Betriebssystem nutzen und deinen Rechner sperren sollst, wenn du nicht aktiv davor sitzt.

Alle Convenience-Funktionen wie diese von Opprobrium verlinkte Funktion behandeln nur das Google-Profil oder ähnliches, was sicher gut ist, aber man wird dort niemals eine vollständige Verschlüsselung aller lokalen Profildaten finden. Auch andere Browser handhaben das nicht viel anders. Es hätte auch keine realen Sicherheitsvorteile, wenn man sowieso eine Vollverschlüsselung nutzt und keine Dritten an den entsperrten Windows-Account lässt.

Ich finde, eigentlich sollte sowas doch eine absolute nachvollziehbare Anforderung sein?!

Hattet ihr es nicht mal, dass ihr zusammen mit Besuch am Rechner saßt und dann zum Beispiel den Platz verlassen habt, um etwas zu Essen zu machen? Dann will man ungern sagen: ,,Sorry, aber ich muss jetzt den Rechner herunterfahren oder alle Laufwerke unmounten, weil ich Dir nicht vertraue, da Du all meine Passwörter stehlen könntest oder meine gesamte Surfhistorie ausspionieren könntest."

Nein, mal will sagen: ,,Be free, surf ein bisschen im Internet, schau Dir ein paar Videos an, check Deine Mails, was auch immer..."

Die Daten auf dem Rechner sind nochmal was anderes, doch den Browser sollte man doch einfach schnell mal verriegeln können, sodass nur noch privat gesurft werden kann, oder ähnlich. Am besten würde man ihn einfach kurz schließen bevor man geht. Und wenn der Nutzer ihn wieder öffnet, hat er entweder nur einen privaten Tab oder muss ein Passwort eingeben.

Und natürlich, im Optimalfall wäre das Ganze auch verschlüsselt.

Ich finde, eigentlich sollte sowas doch eine absolute nachvollziehbare Anforderung sein?!

Hattet ihr es nicht mal, dass ihr zusammen mit Besuch am Rechner saßt und dann zum Beispiel den Platz verlassen habt, um etwas zu Essen zu machen? Dann will man ungern sagen: ,,Sorry, aber ich muss jetzt den Rechner herunterfahren oder alle Laufwerke unmounten, weil ich Dir nicht vertraue, da Du all meine Passwörter stehlen könntest oder meine gesamte Surfhistorie ausspionieren könntest."

Nein, mal will sagen: ,,Be free, surf ein bisschen im Internet, schau Dir ein paar Videos an, check Deine Mails, was auch immer..."

Die Daten auf dem Rechner sind nochmal was anderes, doch den Browser sollte man doch einfach schnell mal verriegeln können, sodass nur noch privat gesurft werden kann, oder ähnlich. Am besten würde man ihn einfach kurz schließen bevor man geht. Und wenn der Nutzer ihn wieder öffnet, hat er entweder nur einen privaten Tab oder muss ein Passwort eingeben.

Und natürlich, im Optimalfall wäre das Ganze auch verschlüsselt.

Einfach den User wechseln und das Problem ist gelöst. Man kann es sich ja auch unnötig kompliziert machen ^^

Es hätte auch keine realen Sicherheitsvorteile, wenn man sowieso eine Vollverschlüsselung nutzt und keine Dritten an den entsperrten Windows-Account lässt.
This.

Ausserdem hat man, sofern man ach so sensitive Daten hat, einen Zweitrechner für Besuch. Oder wie bei mir den dritt, viert Rechner. Es kommt bei mir auch keiner auf die Idee, dass es ok sei, an meinen PC zu gehen. Ist ja meiner und weiss jeder, dass ich ab und an mal mit hoch-sensitiven Daten arbeite.

Praktisch jede moderne CPU beschleunigt AES in Hardware. Man braucht heute keinen separaten Chip. Die CPUs bringen schon AES-NI oder ähnliches mit und schaufeln mehrere Gigabyte pro Sekunde ohne CPU-Last.

Du spekulierst darauf, dass der TS einen schnellen Prozessor mit AES-Beschleunigung verwendet. Und weiter spekulierst du, dass diese Lösung immer nur am gleichen Computer genutzt wird. Vermutlich hast du damit recht, aber vielleicht auch nicht (oder nicht immer).

Ob das praktisch sicherer ist oder nicht, kann man schlecht beantworten. Viele dieser dedizierten Chips hatten in der Vergangenheit klaffende Sicherheitslücken.

Dem TS geht es nicht darum, sich vor dem Geheimdienst einer fremden Nation zu schützen. Er will lediglich, das während seiner Abwesenheit, seine Kollegen oder Freunde keinen Unfug mit seinen Passwörtern anstellen.

Die Daten auf dem Rechner sind nochmal was anderes, doch den Browser sollte man doch einfach schnell mal verriegeln können, sodass nur noch privat gesurft werden kann, oder ähnlich. Am besten würde man ihn einfach kurz schließen bevor man geht. Und wenn der Nutzer ihn wieder öffnet, hat er entweder nur einen privaten Tab oder muss ein Passwort eingeben.

Und natürlich, im Optimalfall wäre das Ganze auch verschlüsselt.

Kein Problem. Mit Tastendruck auf dem Keypad (Lock-Taste) kannst du das Laufwerk sofort sperren.

Auf dem Desktop legst du zwei Links zu Browsern ab, den normalen (für deine Spezis) und den Speziellen für dich.

Einen Nachteil hat es allerdings schon (vielleicht ist es für dich auch ein Vorteil, je nachdem wie man es sieht). Nach 13 Minuten Inaktivität sperrt sich das Laufwerk von selbst.

Ich finde, eigentlich sollte sowas doch eine absolute nachvollziehbare Anforderung sein?!

Hattet ihr es nicht mal, dass ihr zusammen mit Besuch am Rechner saßt und dann zum Beispiel den Platz verlassen habt, um etwas zu Essen zu machen? Dann will man ungern sagen: ,,Sorry, aber ich muss jetzt den Rechner herunterfahren oder alle Laufwerke unmounten, weil ich Dir nicht vertraue, da Du all meine Passwörter stehlen könntest oder meine gesamte Surfhistorie ausspionieren könntest."

Nein, mal will sagen: ,,Be free, surf ein bisschen im Internet, schau Dir ein paar Videos an, check Deine Mails, was auch immer..."

Das ist eine nachvollziehbare Anforderung, aber dein Betriebssystem kennt dafür nur den Mechanismus den Windows-Account entweder zu sperren und / oder auf einen anderen User zu switchen. Dein Browser wiederum ist nur ein weiterer Prozess auf deinem Rechner und kann nicht unterscheiden, wer vor dem Bildschirm sitzt und verlässt sich damit auf die User- und Rechtverwaltung des Betriebssystems. Die meisten Betriebssysteme haben daher einen Gast-Account, um solche Anwendungsfälle zu bedienen. Vollverschlüsselung wiederum schützt dich vor physischen Angriffen, wenn der Rechner komplett heruntergefahren ist. Daher ist aktuell das Optimum den Rechner zu sperren, wenn du nicht davor sitzt und ansonsten Vollverschlüsselung zu nutzen.

Jeder weiß, dass das nicht perfekt ist. Es ist nur mit aktuellen Betriebssystemen anders nur sehr schwierig umsetzbar. Das, was du vorschlägst, ist zwar nachvollziehbar, aber liefert nur ganz schwammige Lösungen, bei denen man die Sicherheit nicht wirklich klar einschätzen kann. Im schlimmsten Fall versprechen sich Leute davon etwas, was es nicht halten kann und deshalb wird es so auch nicht implementiert. Das ist leider so.

Die Daten auf dem Rechner sind nochmal was anderes, doch den Browser sollte man doch einfach schnell mal verriegeln können, sodass nur noch privat gesurft werden kann, oder ähnlich. Am besten würde man ihn einfach kurz schließen bevor man geht. Und wenn der Nutzer ihn wieder öffnet, hat er entweder nur einen privaten Tab oder muss ein Passwort eingeben.

Genau das macht der Gast-Account auf Betriebssystemebene, nur ohne explizite Verschlüsselung der Anwendungsdaten.

Und natürlich, im Optimalfall wäre das Ganze auch verschlüsselt.

Verschlüsselung ist nicht dazu geeignet eine Rechteverwaltung zu simulieren. Das ist der springende Punkt.

Du spekulierst darauf, dass der TS einen schnellen Prozessor mit AES-Beschleunigung verwendet. Und weiter spekulierst du, dass diese Lösung immer nur am gleichen Computer genutzt wird. Vermutlich hast du damit recht, aber vielleicht auch nicht (oder nicht immer).

Hat mit schnell oder langsam eigentlich nichts zu tun. Jede x86-CPU der letzten Jahre bringt AES-NI mit. AMD CPUs sogar noch länger. Sogar ARM Low-End-CPUs haben seit AArch64 Instruktionen, die AES massiv beschleunigen. Ein billiger Octa-Core Cortex A53 liefert mit OpenSSL ca. 8 GB/s Durchsatz bei AES-basierter Verschlüsselung.

Den Zustand von Anwendungsdaten über ein externes Medium zu synchronisieren hört sich abenteuerlich an, gerade wenn es um Browser geht. Session-Cookies sollte man dann besser vielleicht nicht speichern.

Dem TS geht es nicht darum, sich vor dem Geheimdienst einer fremden Nation zu schützen. Er will lediglich, das während seiner Abwesenheit, seine Kollegen oder Freunde keinen Unfug mit seinen Passwörtern anstellen.

Wenn das sein Threat Model ist, dann müsste er seinen Windows-Account nur locken, wenn er nicht vor dem Rechner sitzt und könnte sich Bitlocker oder generell Vollverschlüsselung jeder Art einfach sparen.

@Geldmann3:
Wenn möchtest du denn aufhalten?


Den einfachen User, der kaum Ahnung von PCs hat:
Würde da nicht schon der Kiosk-Modus vom Browser helfen? Chrome und der neuere Edge haben einen Kiosk-Modus, womit der Browser im Vollbildmodus gestartet wird und es keine URL-Leiste + Symbolleiste gibt. Als Startseite machst du dann Google.de. Das reicht locker für die unbedarften User, die Internetseiten eh nur über die Google-Suche öffnen und nicht per URL-Eingabe.
Mit ALT+F4 dann den Browser beenden.


Den erfahrenen User:
Hier wird das Problem schwieriger. Was soll diesen Typ von User davon abhalten, den Browser zu minimieren und auch z.B. deine privaten Dokumente zu durchforsten? Deshalb ist deine Anforderung, nur auf den Browser beschränkt, auch nicht nachvollziehbar. Wenn ich der Person nicht vertraue, dann lasse ich sie generell nicht an den PC.

Hier würde ich auch auf die Userverwaltung von Windows zurückgreifen.
Einfach einen Gast-Account einrichten. Der Wechsel ist schon sehr simpel: Im Startmenü auf deinen Usernamen klicken und dort das Gast-Konto auswählen. Und per Autostart-Ordner einstellen, dass der Browser gestartet werden soll.


Eine andere Alternative wäre sonst, was auch andere geschrieben hatten: Einen verschlüsselten Container / Partition nur für den Browser + eine Batch/PS-Datei, die nach einem Passwort fragt, den Container entsperrt und danach den Browser startet. Und wenn man den PC verlässt, eine 2. Batch/PS-Datei, die evtl. offene Browser-Tasks killt und den Container wieder sperrt. Aber das Problem mit den privaten Dokumenten besteht weiterhin...


EDIT: Vermutlich wäre aber die Userverwaltung von Chrome auch schon ausreichend. Zumindest in deinem beschriebenen Szenario.

Hattet ihr es nicht mal, dass ihr zusammen mit Besuch am Rechner saßt und dann zum Beispiel den Platz verlassen habt, um etwas zu Essen zu machen? Dann will man ungern sagen: ,,Sorry, aber ich muss jetzt den Rechner herunterfahren oder alle Laufwerke unmounten, weil ich Dir nicht vertraue, da Du all meine Passwörter stehlen könntest oder meine gesamte Surfhistorie ausspionieren könntest."

Nein, mal will sagen: ,,Be free, surf ein bisschen im Internet, schau Dir ein paar Videos an, check Deine Mails, was auch immer..."Ich mach dann einfach meinen Browser (Vivaldi) zu und starte denen den IE11. :ugly:
So fit sind die Leute die mich besuchen alle nicht am PC, um das zu schnallen.

Einfach den User wechseln und das Problem ist gelöst. Man kann es sich ja auch unnötig kompliziert machen ^^Oder so. Ich glaube aber, der Gast-Account bei Linux Mint wurde abgeschafft, oder?

MfG
Rooter

Oder so. Ich glaube aber, der Gast-Account bei Linux Mint wurde abgeschafft, oder?

Leg einen separaten User an und lass den Inhalt des Home-Verzeichnisses beim Hoch- oder Runterfahren löschen. Fertig ist der Gast-Account.

und lass den Inhalt des Home-Verzeichnisses beim Hoch- oder Runterfahren löschen.Und wie macht man das z.B.? :confused:

MfG
Rooter

Die Daten auf dem Rechner sind nochmal was anderes, doch den Browser sollte man doch einfach schnell mal verriegeln können, sodass nur noch privat gesurft werden kann, oder ähnlich. Am besten würde man ihn einfach kurz schließen bevor man geht. Und wenn der Nutzer ihn wieder öffnet, hat er entweder nur einen privaten Tab oder muss ein Passwort eingeben.

Und natürlich, im Optimalfall wäre das Ganze auch verschlüsselt.Was willst du jetzt eigentlich genau?

Soweit ich es verstehe, willst du diese 3 Sachen haben. Alternativ 2 verschiedene Profile oder einen anderen Browser für Gäste.