Im Folgenden finden Sie häufig gestellte Fragen zur Erweiterung „Passwort-Warnung“, die zum Schutz vor Phishing verwendet wird. Eine Installationsanleitung zu Passwort-Warnung finden Sie unter Ihre Nutzer vor Phishing-Angriffen schützen oder Schutz vor Phishing durch Passwort-Warnung.
Was ist Passwort-Warnung?Passwort-Warnung ist eine Chrome-Erweiterung, mit der Nutzer von Google Workspace und von Cloud Identity Phishingangriffe abwehren können, weil erkannt wird, wenn sie ihr Google-Passwort auf anderen Websites als der Google Log-in-Seite eingeben.
Administratoren haben außerdem die Möglichkeit, den Passwort-Warnung-Server bereitzustellen, um Warnungen zu prüfen, E-Mail-Benachrichtigungen zu senden und Nutzer zum Ändern ihres Google-Passwortes zu zwingen, wenn sie es auf einer nicht vertrauenswürdigen Website eingegeben haben.
Viele der Funktionen der Chrome-Erweiterung „Passwort-Warnung“ werden durch die Chrome-Richtlinie für Passwort-Warnung aktiviert. Sie ist nativ in Chrome implementiert und ermöglicht eine einheitliche Bereitstellung und Berichterstellung auf allen Plattformen, die Chrome unterstützen.
Für diese Richtlinie benötigt Ihre Organisation weder Google Workspace noch Cloud Identity. Sie bietet aktuell keinen Passwort-Warnung-Server für die Prüfung und Steuerung von Warnungen.
Wenn Sie sowohl die Chrome-Erweiterung als auch die Chrome-Richtlinie für Passwort-Warnungen eingerichtet haben, erhalten Sie doppelte Warnungen. Deaktivieren Sie die Erweiterung, um dies zu vermeiden.
Nein. Wenn Sie das Passwort für Ihr verwaltetes Google-Konto (z. B. Google Workspace oder Cloud Identity) auf einer nicht von Google betriebenen Website eingeben, wird eine Warnung ausgegeben. Immer, wenn dieses Passwort erstmalig für ein anderes Konto verwendet wird, erhalten Sie eine Warnung. Sie können auswählen, ob das Passwort zurückgesetzt oder die Warnung für das jeweilige Konto ignoriert werden soll.
Gmail-Nutzer haben die Möglichkeit, alle Warnungen auf einer Website zu deaktivieren. Wenn Sie ein Passwort für mehrere Konten verwenden und eines dieser Konten beschädigt wird, versuchen die Angreifer oft, das Passwort für Ihre anderen Konten zu verwenden, um mit denselben Anmeldedaten Zugriff zu erhalten.
Passwort-Warnung ist für Google Workspace- und Cloud Identity-Nutzer gedacht und funktioniert derzeit nur als Erweiterung im Chrome-Browser. Als Administrator können Sie Passwort-Warnung mithilfe von Chrome-Richtlinien in Ihren Domains bereitstellen und eine Google App Engine-Instanz einrichten, um Warnungen in Ihren Domains im Blick zu behalten. Wenn in Ihrer Organisation alte Browserversionen verwendet werden, empfehlen wir Ihnen, den Hilfeartikel Integrierte Unterstützung für ältere Browser unter Windows zu lesen.
Password-Warnung bestimmt anhand des aktiven Chrome-Profils, welches Konto geschützt werden soll. Wenn Sie also Passwort-Warnung für mehrere Google-Konten installieren möchten, müssen Sie dafür mehrere Chrome-Profile verwenden.
Nach der Installation der Erweiterung wird Passwort-Warnung aktiv, sobald Sie sich das nächste Mal auf accounts.google.com anmelden. JavaScript muss aktiviert werden und Nutzer mit verwalteten Google-Konten müssen in Chrome angemeldet sein.
Passwort-Warnung kann bei jeder erfolgreichen Anmeldung in Ihrem Google-Konto vorübergehend auf Ihr aktuelles Passwort zugreifen und speichert eine reduzierte, mit einem Salt versehene Passwortversion im lokalen Chrome-Speicher. Anschließend wird diese Miniaturversion mit jedem Passwort verglichen, das Sie auf einer anderen Website (außerhalb von accounts.google.com) eingeben – oder im Fall von Google Cloud-Domains außerhalb von Websites, die der Administrator auf die Zulassungsliste gesetzt hat.
Für Gmail-Nutzer stellt ein FIDO Universal 2nd Factor (U2F)-Sicherheitsschlüssel eine sinnvolle Möglichkeit dar, um Passwort-Phishing zu verhindern.
Chrome ist darauf ausgerichtet, Phishing-Seiten im Voraus zu erkennen. Es besteht aber dennoch die Möglichkeit, dass betrügerische Anmeldeseiten nicht in jedem Fall bemerkt werden. Passwort-Warnung sollte immer feststellen, wenn Sie Ihr Passwort auf einer Website außerhalb von accounts.google.com eingeben – oder im Fall von Google Cloud-Domains außerhalb von Websites, die der Administrator auf die Zulassungsliste gesetzt hat.
Nein. In Passwort-Warnung müssen diese mindestens acht Zeichen haben. Bestehende Google-Passwörter, die diese Vorgabe nicht erfüllen, müssen daher geändert werden.
Nein. Passwort-Warnung speichert Tastatureingaben weder auf der Festplatte noch werden sie an ein Remotesystem übermittelt.
Nein. Die Anwendung "Passwort-Warnung" ist nur für die Überprüfung von Warnungen, zum Senden von E-Mail-Benachrichtigungen und für den Fall erforderlich, dass ein Nutzer sein Google-Passwort zwingend ändern muss, weil er es auf einer nicht vertrauenswürdigen Website eingegeben hat.
Nachdem Sie in Passwort-Warnung den Versand von Berichten an die dazugehörige Anwendung konfiguriert haben, werden die Benachrichtigungen nur noch per E-Mail an die Sicherheitsgruppe und/oder den Nutzer gesendet. Weitere Informationen hierzu finden Sie in der Konfigurationsdatei von Passwort-Warnung im Abschnitt Erzwingung.
Was ist der Unterschied zwischen der Anwendung „Passwort-Warnung“ und der App Engine-Instanz?Die Anwendung "Passwort-Warnung" wird von Google verwaltet, während die App Engine-Instanz von Ihrem Team verwaltet wird.
Zugelassen – Der Sicherheitsmechanismus wird nicht aktiviert und das Passwort des Nutzers läuft nicht ab. Mit diesem Status können Sie einen Host auf die Zulassungsliste für die Wiederverwendung des Passwortes setzen.
Ignoriert – Der Sicherheitsmechanismus wird nicht aktiviert, jedoch läuft das Passwort des Nutzers ab. Hostnamen werden in der Regel ignoriert, wenn die Wiederverwendung eines Passwortes auf einer legitimen Website (z. B. login.yahoo.de) erkannt wird.
Unbekannt – Der Sicherheitsmechanismus wird aktiviert und das Passwort des Nutzers läuft ab. Das ist der Standardstatus für alle Hosts mit Ausnahme von accounts.google.com und der in der Datei managed_policy_values.txt definierten SSO-URL (SSO_URL).
Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der Unternehmen, mit denen sie verbunden sind.