Gibt es reine browser-basierte Passwort-Manager (AddOns) ?

[bensto]

Manchmal verfallen die im Cookie gespeicherten Login-Anmeldungen (nach relativ kurzer Zeit) und ich muss mich wieder manuell einloggen. Das nervt.

Ok, ich kann natürlich einen externen Passwort Manager wie KeePassXC verwenden. Dieser ist aber nicht als (Firefox) WebExtension/AddOn verfügbar. Ich will auf ein externes Programm verzichten.

Ich plane für einige Webseiten daher ein browser-basiertes AddOn zu verwenden.

Wenn ich server-seitig zwangsausgeloggt werde dann soll sich das Browser-Addon automatisch wieder erneut einloggen.

Geht das?

Welches AddOn (für Firefox) ist hier empfehlenswert?

Die Webseiten-Daten-Sicherheit braucht nicht auf extrem hohem Niveau zu sein.
Es werden keine finanziellen /persönlichen Daten abgerufen.

 

[Suotana]

LastPass sollte alles können, wonach gesucht wird.

 

[TheManneken]

Ich denke, was du suchst, liefert der Firefox schon ab Werk, nennt sich "Hauptpasswort verwenden" in den Einstellungen (früher Masterpasswort):

 

[Autokiller677]

Quasi jeder Passwort-Manager mit Cloud im Hintergrund wie Bitwarden, LastPass & co bieten gute Browser-Plugins, über die man alles managen kann. Dann liegen die Sachen aber auch Ende-zu-Ende Verschlüsselt in einer Cloud.

Ich würde einfach den Passwort-Manager vom Browser selbst nehmen - Speicherung nur lokal (außer man hat irgendeinen Sync-Service für Browser Einstellungen aktiviert), und alles im Browser integriert.

 

[BeBur]

Es gibt doch ein offizielles KeePassXC Browser Plugin? Link

 

[M4ttX]

Ja, da gibt es die oben erwähnten Programme und viele weitere. Nur mit LastPass würd ich jetzt nicht mehr beginnen, da ist man bei Bitwarden uneingeschränkter.

 

[Joshinator]

Benutze auch Bitwarden, mit dem Browser-Addon musst du nur den Eintrag auswählen und er füllt die Textfelder auf der Website. Musst also zwei klicks machen, nicht ganz:

Wenn ich server-seitig zwangsausgeloggt werde dann soll sich das Browser-Addon automatisch wieder erneut einloggen.

Man lernt nicht aus: kann automatisch beim Pageload ausgeführt werden

Die Android & iOS App von Bitwarden funktioniert nach dem gleichem Prinzip. Wenn du in ein Textfeld tippst bekommst du die Option die Bitwarden-App zu nutzen und dann füllt die die Eingabefelder aus.

 

[Autokiller677]

@Joshinator

Man kann bei Bitwarden in den Einstellungen auch den Haken setzen, dass er ein Passwortfeld immer automatisch ausfüllt, dann muss man nichtmal mehr klicken.

Und eine Tastenkombination gibt's auch.

 

[cartridge_case]

Ich finde auch, dass das der Browser schon kann. Was gefällt dir daran nicht? Oder was fehlt?

 

[T.N.]

Und wenn Dir das schon Jahre verfügbare KeePassXC Plugin für Firefox nicht genügt, kannste ja das Plugin "KEE" für KeePass nehmen.

KEE

Dann brauchste noch das...

KeePass

und das...

Plugin

liest hier noch ein bisschen rum....

Lesen

und fertig ist die Laube. Dauert 10 Minuten, wenn überhaupt.

Wenn man das nicht gebacken bekommt, sucht man an seiner örtlichen Volkshochschule vielleicht nach einem Kurs, der die effiziente Benutzung der Google Suchfunktion zum Thema hat.

Ein externes Programm ist dann natürlich Pflicht. Seine Passwörter legt man natürlich in keinem Browser ab. So ganz grundsätzlich gesprochen.

 

[BeBur]

Seine Passwörter legt man natürlich in keinem Browser ab.

Wieso nicht? Du traust doch offenbar auch dem Plugin-System des Browsers.
Darüber hinaus verlinkst du ein Plugin von "Luckyrat", ist der etwa vertrauenswürdiger als Mozilla?

 

[Conqi]

@BeBur der Browser ist permanent im Netz und Angriffen ausgesetzt und zudem gibt es nur drei, vier relevante Browser. Eine separate Applikation würde ich da schon als sicherer einstufen. Ein Browser-Plugin untergräbt das dann wieder ein wenig.
Die Gefahr ist aber gering. Browser werden dafür schließlich sehr oft gepatcht und sind bei neuesten Sicherheitsmaßnahmen meist ganz vorne mit dabei.

Der echte Vorteil eines Passwortmanagers ist aus meiner Sicht, dass man sehr leicht den Browser wechseln kann und dass man auch Login-Daten für Apps oder generell sensible Informationen dort ablegen kann.

 

[T.N.]

Wieso nicht?

Die Frage meinst Du sicher nicht ernst. Die Antwort: Weil Sicherheitslücken in Browsern Legion sind. Seit es sie gibt. Zugegeben, RPC hatte letztes Jahr auch ein Sicherheitsproblem. Das ändert jedoch nichts an dem Grundsatz, das Passwörter nicht in den Browser gehören. Überdies wurde das Problem in RPC schnell gefixt.

Ein guter Mittelweg sind externe Programme mit einem Übergabepunkt via Plugin zum Browser. Auch das ist fehleranfällig, aber besser als Passwörter direkt in Browsern abzulegen. Wenn man schon so bequem ist, dann sollte man jede Eingabe mit einem starken Hauptpasswort in Firefox absichern bzw. vornehmen und die Passwörter auf keinen Fall mit irgendeiner Cloud "synchronisieren".

Mit einem starken Passwort meine ich sowas hier z.B:
FjkAo!BG$Mec0Wml5ruG!IS$G!qzYK
Nicht selbst erdacht, sondern mit einem Generator erstellt. Wenn man Sicherheit ernst meint, muss man es auch richtig machen. Und wenn man es dann schon innerhalb der Browserebene nutzen muss, sollte man es auch regelmäßig wechseln.

 

[LukS]

@T.N.
ganz verstanden hab ich deinen Einwand noch nicht.
Was spricht gegen Firefox/Mozilla Account mit 2FA + Master Passwort um die PWs zu synchronisieren?

 

[ExigeS2]

Dashlane

https://www.dashlane.com/de

 

[Autokiller677]

Nichts spricht gegen den Browser mit Master-PW, vor allem, wenn es keine sicherheitskritischen Passwörter sind wie der TE verwalten will.

Einziges Manko bei Firefox sehe ich da, dass man auch ohne Masterpasswort den PW Manager nutzen kann, dann ist halt alles im Klartext gespeichert. Das ist dann wirklich unsicher.

Aber @T.N. s Ausführung zeigt sehr gut, warum ich den meisten Leuten mittlerweile von Keepass abrate. "Hier ein Drittanbieter Browser Plugin", dann noch "hier ein bisschen rumlesen und Einstellungen anpassen", dann muss man zusätzlich zum Browser natürlich auch noch immer Keepass starten & sich da einloggen... - für die Meisten schon zu viel und am Ende nutzen sie gar keinen PW Manager.

Wenn das alles sauber aus einer Hand kommt und vom Browser-Plugin aus bedient werden kann, ist die Wahrscheinlichkeit, dass es dauerhaft genutzt wird gerade bei Laien deutlich höher. Sehe ich bei mir auf der Arbeit sehr viel. Offizielle Vorgabe der IT ist "nutzt Keepass". Da es aber kein offizielles Browser-Plugin gibt, will die IT glatt, dass man jedes PW manuell durch die Gegend kopiert. Joa, ich kenne außer mir niemanden, der Keepass nutzt. Zettelwirtschaft, PW Manger vom Browser, überall das gleiche PW - nur kein Keepass, ist allen zu umständlich.

Ease of use ist einfach der größte Sicherheitsgewinn, weil es dann auch genutzt wird.

 

[BeBur]

Die Frage meinst Du sicher nicht ernst.

Dein Ton passt nicht so ganz zu den Inhalten:

Ein guter Mittelweg sind externe Programme mit einem Übergabepunkt via Plugin zum Browser. Auch das ist fehleranfällig, aber besser als Passwörter direkt in Browsern abzulegen.

Wie kommst du darauf, dass das 'besser' ist? Welche technischen Eigenschaften macht das 'besser' oder 'sicherer'? Ich denke du gehst hier einfach nach Gefühl "X macht man nicht", aber das ist nicht fundiert, zumal du dann noch empfiehlst einem Drittanbieter-Plugin Zugriff auf den Passwort-Safe zu geben, was das das ganze als Gesamtkonstrukt noch fragwürdiger macht, da man dann KeePassXC + Firefox + KEE vertrauen muss, anstatt nur Firefox.
Also was stört dich konkret fachlich am Firefox Passwort-Manager das du so deutlich davon abrätst?

RPC hatte letztes Jahr auch ein Sicherheitsproblem.

Guter Witz bzw. Untertreibung.

der Browser ist permanent im Netz und Angriffen ausgesetzt und zudem gibt es nur drei, vier relevante Browser.

Die Gefahr ist aber gering. Browser werden dafür schließlich sehr oft gepatcht und sind bei neuesten Sicherheitsmaßnahmen meist ganz vorne mit dabei.

Was denn jetzt?

Man kann ja beide Meinungen vertreten. Browsern sollte man nicht vertrauen, da permanent im Netz und Angriffen ausgesetzt oder die Gefahr ist gering, da viele Patches die sehr schnell ausgerollt werden.
Aber dann nutzt man kein Browser Plugin wenn man dem Browser nicht vertraut. Oder man vertraut ihm, dann geht das natürlich, aber man kann dann auch den Passwort-Safe des Browsers nutzen.

Eine separate Applikation würde ich da schon als sicherer einstufen. Ein Browser-Plugin untergräbt das dann wieder ein wenig.

Das 'ein wenig' ist eine gefühlte Wahrheit wie die hier schon angemerkte kritische Sicherheitslücke in KEE RPCs Modul belegt. Ein klassisches Beispiel dafür, dass man vom Prinzip her sicherer ist, wenn man die Komplexität des Systems verringert. Denn hier konnte die Verbindung zweier kritischer Systeme ausgenutzt werden um Passwörter auszulesen.
Von daher gilt erst einmal: Weniger Komplexität = besser und Browser + Plugin + externes Programm (+ Plugin für das Programm) ist komplexer als nur Browser.


---

Einziges Manko bei Firefox sehe ich da, dass man auch ohne Masterpasswort den PW Manager nutzen kann, dann ist halt alles im Klartext gespeichert. Das ist dann wirklich unsicher.

Ease of use ist einfach der größte Sicherheitsgewinn, weil es dann auch genutzt wird.

100% Zustimmung.

 

[bensto]

Es gibt doch ein offizielles KeePassXC Browser Plugin? Link

Oh, danke.

Hatte nur auf der Webseite

https://keepassxc.org/download/

nachgeschaut

 

[Joshinator]

Also was stört dich konkret fachlich am Firefox Passwort-Manager das du so deutlich davon abrätst?

https://bugzilla.mozilla.org/show_bug.cgi?id=524403
Das Ticket wurde vor 12 Jahren erstellt und letztes Jahr wurden es endlich gefixt (galt auch für Thunderbird).
Ist kein "ich besuche shadywebsite.com und die haben alle meine Passwörter", aber wie lange so eine Sicherheitslücke offen bleibt ist nicht grade vertrauenerweckend.
Hier gibt es dazu einen netten Beitrag der das etwas verständlicher zusammenfasst (Wladimir zerpflückt Passwort-Manager/Browser-Addons generell sehr gut in seinem Blog). Aber in kurz wurden zu wenig SHA1 Iterationen benutzt, was mit aktueller Hardware einfach zu Bruteforcen ist.


Die große Frage ist dann "vertraue ich dem Browser mit den Passwörtern" oder "vertraue ich der Browser-Addon-Schnittstelle und dem Passwort-Manager".
Ich vertraue da doch lieber einer Software die sich ausschließlich mit dem "sicherem speichern" von Passwörtern aktiv beschäftigt. Noch besser wenn der Code öffentlich ist und regelmäßige externe Audits gemacht werden.
Vielleicht schlafe ich dadurch auch nur besser, kugelsicher sind am Ende keine der beiden Optionen.

 

[BeBur]

Ich vertraue da doch lieber einer Software die sich ausschließlich mit dem "sicherem speichern" von Passwörtern aktiv beschäftigt.

Ich auch.

Noch besser wenn der Code öffentlich ist und regelmäßige externe Audits gemacht werden.

Ja. Wobei mir keine bekannt ist wo regelmäßig Audits gemacht werden. KeePass 1 und KeePass 2 (Ich glaube KeePassXC bisher nicht?) hatten ja eines jeweils schon.

Danke für den Hinweis bezgl. der Firefox Sache. Äußerst gruselig, dass das so lange nicht geändert wurde. Ist für mich persönlich wie auch die KEE RPC Geschichte ein dauerhaftes Ausschlusskriterium.

Dennoch sollen Leute lieber den Firefox Safe (mit Passwort) benutzen, wenn sie den benutzen oder spontan gut damit zurecht kommen. Das Hauptproblem im Internet sind nicht Schwachstellen in Password-Safes, sondern dass Menschen keine verwenden.