Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
firefox: vorgeschlagenes passwort wurde nicht gespeichert / synchronisiert
bisher hab ich mich immer drauf verlassen können: ich habe bei diversen registrierungen die von FF vorgeschlagenen paßwörter übernommen und bei anmeldungen über die synchronisierung auf meine anderen rechner angezeigt bekommen (ich benutze dabei natürlich ein hauptpaßwort UND 2FA via authenticator). zur not konnte ich sie unter FFs „passwörter“ nachschlagen. diesmal nichts von alldem: ein vorhin vergebenes ist auch auf dem rechner, auf dem es erstellt wurde, nicht nachzuschauen und demnach auch nicht synchronisiert. abgesehen davon, daß ich natürlich unter „paßwort vergessen“ weiterkomme: was ist da wohl passiert? und allgemeiner: was haltet ihr von den paßwortfunktionen von firefox?
Unbrauchbar, sollte man aus diversen Gründen nicht nutzen.
Mir würde im Leben nicht einfallen die Passwörter im Browser abzuspeicheren, in dem Teil Software das ständig in direktem Kontakt mit dem Einfallstor von Schadsoftware steht.
Und der "ordentliche Passwort Manager" steht in keinerlei Kontakt mit dem Browser? Und stellt selbst keinerlei Angriffsfläche dar? Und ich hätte gedacht, dass Passwort-Manager auch schon häufiger teilweise krasse Sicherheitslücken hatten.
Naja schau mal die Probleme jeweils an. Firefox hat da nen guten Track Record im Vergleich zu den eigenständigen Passwort-Managern.
Mir persönlich ist auch nicht klar, weshalb ein integrierter Manager (aus einem Team von Programmierern, die tagtäglich mit Sicherheitsdingen zu tun haben) schlechter sein sollte als ein separater Manager (tendenziell von Leuten, die in erster Linie ein weiteres Produkt verkaufen wollen und sonst nicht zwingend kompetent sein müssen).
Ist ähnlich gelagert wie bei Antiviren. Separate sind da meistens auch nur Schlonz mit Abofunktion.
Alle weiteren "Rückschlüsse" (man beachte die Anführungszeichen) sind Mutmaßung und rum raten.
GrumpyCat schrieb:
Mir persönlich ist auch nicht klar, weshalb ein integrierter Manager (aus einem Team von Programmierern, die tagtäglich mit Sicherheitsdingen zu tun haben) schlechter sein sollte als ein separater Manager (tendenziell von Leuten, die in erster Linie ein weiteres Produkt verkaufen wollen und sonst nicht zwingend kompetent sein müssen).
ich seh halt auch seit jahren, daß alle auf irgendwelche externen PM schwören, habe auch immer darauf gewartet, daß irgendeine horrormeldung wgn FF kommt - die aber eben nie kam (wenn ich nix überhört habe). und mit meinen vorsichtsmaßnahmen (allgemein und speziell, s.o.) wähne ich mich bisher auf der sicheren seite (mit aller vorsicht). und cross-plattform mach ich zb auch auf win11: eben mit FF statt edge (hab auch kein MS-konto). aber danke an beide seiten! auch gern mit weiteren meinungen.
Mir persönlich ist auch nicht klar, weshalb ein integrierter Manager (aus einem Team von Programmierern, die tagtäglich mit Sicherheitsdingen zu tun haben) schlechter sein sollte als ein separater Manager (tendenziell von Leuten, die in erster Linie ein weiteres Produkt verkaufen wollen und sonst nicht zwingend kompetent sein müssen).
Weil er in Firefox integriert ist und da an sich nicht verloren hat. Das CVE ist voll von genau solchen Angriffsvektoren, wo das genau so permanent passiert, wenn das angegriffene System auch Wissen und Zugang auf Kennwörter hat. Der Browser sollte nicht das Kennwort haben, ansonsten sollte man hier bei kritischen Dingen wie Onlineshops etc. immer 2FA/MFA aktivieren.
GrumpyCat schrieb:
Ist ähnlich gelagert wie bei Antiviren. Separate sind da meistens auch nur Schlonz mit Abofunktion.
Sorry, das ist eine sehr umgeschickte Antwort, die gerade nicht von viel Sachverstand in Bezug auf Sicherheit zeugt. Dem eben nicht so. Separate PM sind absolut sinnvoll und essentiell für ein gute IT-Sicherheit.
Nicht umsonst gibt es in diversen IT-Sicherheitsrichtlinien in Unternehmen wie Behörden, daß in Browser KEINE Kennwörter gespeichert werden dürfen!
Ergänzung ()
GrumpyCat schrieb:
Und der "ordentliche Passwort Manager" steht in keinerlei Kontakt mit dem Browser?
Natürlich, wie kommst Du auf die Idee? Du weißt doch gar nicht, wo jemand seine Kennwörter verwaltet, z.B. über eine verschlüsselte Excel-Datei, Text in verschlüsselter gepackter Datei, Zettel, auf einem Smartphone...
Wer den Browser angreift, wo interaktiv ein PW eingegeben wird, woher will der dann wissen, wie das Kennwort woher verwaltet wird? Darüber kann keine Infos erlangt werden. Der Browser kann doch nicht erkennen, aus dem Gedächnis gefüllt wird oder von einem PW Tool abgeschrieben wird.
GrumpyCat schrieb:
Und ich hätte gedacht, dass Passwort-Manager auch schon häufiger teilweise krasse Sicherheitslücken hatten.
Sicher, aber es ist als direkter Angriffsvektor am betroffenen System bzw. Programm nicht erreichbar.
Ergänzung ()
ed_lumen schrieb:
ich seh halt auch seit jahren, daß alle auf irgendwelche externen PM schwören, habe auch immer darauf gewartet, daß irgendeine horrormeldung wgn FF kommt - die aber eben nie kam (wenn ich nix überhört habe). und mit meinen vorsichtsmaßnahmen (allgemein und speziell, s.o.) wähne ich mich bisher auf der sicheren seite
Bist Du aber nicht. Nur weil es bisher nicht bei Firefox vorkam, heißt es noch lange nicht, daß es automatisch sicher sei. Der Browser ist im Netz ein primäres Angriffsziel, weil es die URLs entsprechend direkt verarbeitet, und dort sehr wohl viel anderes Zeugs wie Code versteckt werden kann. Daher ist es keine gute Idee, auch wenn es bequem ist, dort seine Kennwörter direkt zu verwalten. Wenn der Browser eine entsprechende Sicherheitslücke hat, kannst Du noch so vorsichtig sein, Du hast verloren, weil Du nichts mitbekommen wirst.
Daher, verwende für wichtige Sachen einen anderen Weg oder über einen separaten PW Mananger, wie hier andere richtig empfohlen hatten.
Die Hersteller der Browser haben allesamt große Teams von Leuten, die echt Ahnung von Security haben. Innerhalb der Browser sind die Komponenten typischerweise in Sandboxes voneinander abgeschottet. Es gab in der Vergangenheit keine wirklich schlimmen CVEs, was z.B. den Firefox-Passwort-Manager angeht.
Anders bei den separaten Passwortmanagern. Da wird schonmal das Passwort für Website B automatisch aus Versehen an Website A gegeben oder das Passwort in der Zwischenablage "vergessen" (auf die Webseiten bis vor kurzem allesamt Zugriff hatten!). Alles Hacks, die der integrierte Manager nicht braucht.
Uh und die Policies der "großen Firmen" sind häufig Mist. Da gilt häufig "Viel hilft viel", und die Angestellten/Policymaker interessieren sich nur dafür, sich selbst unangreifbar zu halten. Dann empfiehlt man nunmal, was alle anderen auch machen, und installiert Antiviren auf Linux-Servern. Irgendwie muss Crowdstrike ja passieren können.
Bei der Arbeit sollte ich letztens für einen sicherheitssensitiven Kunden Okta plus einen Pwd-Manager mit teilweise haarsträubenden Sicherheitslücken in der Vergangenheit installieren. So sieht das da aus...
Was Du bei der Arbeit machst, interessiert hier nicht, wenn gegen Vernunft und gesunden Verstand vorgegangen wird.
An einen einfache Fall hast Du gar nicht gedacht: Was passiert, wenn der Rechner remote gekapert, gestohlen wird, oder sich eine andere Person (z.B. nahe aus der Familie) Zugang auf Dein Gerät verschaffen kann? Die meisten Menschen verwenden aus Faulheit und Trägheit kein Masterkennwort im Browser. Dann kann diese fremde Person sofort AUF ALLES im Brower zugreifen, was dort gespeichert ist. Q.E.D
Seh ich auch kritisch, die Passwörter im Browser abzulegen... dem Haupteinfallstor für alles mögliche auf seinem Rechner. Zugangsdaten immer separat ablegen und absichern. Gibt genug Lösungen dafür, kostenlos und kostenpflichtig.
Oh das war die Policy eines großen Kunden. Den man auch "kennt". Und von mir erwähnt als Beispiel dafür, dass große Firmen häufig unsinnige Policies haben.
Bei meinem Arbeitgeber direkt ist übrigens selbstverständlich Policy, im Passwortmanager immer ein Masterpasswort zu setzen. (egal ob integrierter oder separater, ist doch klar)
Bei meinem Arbeitgeber direkt ist übrigens selbstverständlich Policy, im Passwortmanager immer ein Masterpasswort zu setzen. (egal ob integrierter oder separater, ist doch klar)
gibt es jemand, der passwörter speichern läßt ohne ein MPW zu benutzen? zumindest ich habe das MPW gesetzt, bevor ich auch nur ein einziges PW speichern ließ. und alle wichtigen zugänge unterliegen 2FA. unter diesen voraussetzungen wollte ich den vergleich.
Da müßte mal CB eine weite Umfrage machen, repräsentativ wirst Du das hier allein in diesem Thema wohl nicht erfahren. Ich kenne privat einige Leute, die das nicht machen. Das merke ich dann, wenn die mit ihrem PC zu mir kommen, und ich dann sofort (natürlich ihrer Anwesenheit) auf ihre diverse Konten komme. Aber wenn alle hier so gewissenhaft und ordentlich wie Du damit so umgehen, will ich nichts weiter gesagt haben...🫢
Naja die Leute, die kein Passwort setzen, nehmen dann "1234", wenn sie das Programm dazu nötigt. Insofern ist die Diskussion darum sinnlos. Wenn man partout ein unsicheres System haben will, bekommt man das auch meist hin.
Bei Keepass2Android hat das BSI keine Bedenken angemeldet, lediglich ein Backup sollten Nutzerinnen und Nutzer selbst anlegen. Die Einordnung von KeePassXC sieht nahezu identisch aus, das BSI rät jedoch dazu, einen Zeitraum einzustellen, nach dem die App sich selbst gegen Zugriff sperrt. Der Mozilla Firefox Passwort Manager kann laut BSI bedenkenlos genutzt werden, sofern die Einstellung „Hauptpasswort setzen“ aktiviert wurde. Die Synchronisation mit dem Mozilla-Konto sollten Interessierte aktivieren oder alternativ selbst für eine Sicherung sorgen
Irgendwie muss Crowdstrike ja passieren können.
