Im Browser gespeicherte Passwörter. Eure Meinung.

[Brati23]

Moin,

Früher hatte ich alle meine Passwörter auf einem USB-Stick mit Keepass drauf.
Das wurde mir aber mit der Zeit zu nervig immer den Stick wieder zu verbinden. Also habe ich alle Passwörter ausser Mail und Bank im Browser (Firefox) hinterlegt. Eigentlich könnte ich die ebenfalls da 2FA drauf aber egal. 2FA ist neben "Hirn an" meiner Meinung nach zur Zeit eh einer der besten Schutzmechanismen.

Zurück zum Thema. Im Browser speichern oder nicht?
Ab und an habe ich von Keepass oder ähnlichem als Browser-Plugin gelesen.
Da sehe ich aber den Vorteil ausser der Browserunabhängigkeit nicht ganz.

Was sind denn Browserspezifische, realistische Szenarien im denen die Passwörter "gestohlen" werden könnten? 2FA im Browserkonto ebenfalls aktiv.
Ich meine damit nicht Keylogger und co. Die würden auch mit Keepass abhanden kommen.

Erfahrungsgemäss reichen die Meinungen von "niemals viel zu unsicher" bis "mache ich auch so" Würde mich trotzdem interessieren wie Ihr es löst.

Grüsse Brati

 

[DickerPirat]

Kurz: Nein
Passwörter sind offline sicherer.
Dein Browser ist direkt an der Front zum "bösen" Internet. Browser werden bereits extrem gut getrackt. Deine Cookies, Verlauf, Auflösung, wohin dein Cursor zeigt, wie lange du eine Seite betrachtest, die schnell du scrollst, usw. Das alles erfasst man bereits seit Jahren. Die Passwörter direkt "an der Front" zu speichern, ist unsicherer als sie offline außerhalb des Browsers zu halten.
Das heißt auch, dass man Passwörter niemals in einer Cloud speichern sollte! Nicht mal "nur kurz, um es woanders herunterzuladen".

Passwörter speichere ich in KeePassXC. Wenn ich mich einloggen muss, logge ich mich in KeePass ein, klicke auf das Benutzername/Passwort-Feld, dann auf "Auto-Ausfüllen" in KeePass.
Auf meinem Smartphone ist es ähnlich.
Die Übertragung erfolgt via Kabel oder USB-C-Stick.
Natürlich müssen die Betriebssysteme, auf denen die Datenbank der Passwörter liegt, verschlüsselt sein. Auf dem PC ist es VeraCrypt, da Bitlocker und Co. unsicher sind.

 

[CoMo]

2FA im Browserkonto ebenfalls aktiv.

Was ist ein "Browserkonto"?

Ich speicher die unkritischen Passwörter alle in meinem Browser. Einfach, damit ich die nicht ständig aus meinem Passwort-Manager kopieren muss.

 

[BeBur]

Was sind denn Browserspezifische, realistische Szenarien im denen die Passwörter "gestohlen" werden könnten? 2FA im Browserkonto ebenfalls aktiv.

Gibt es im Prinzip nicht, falls du ansonsten ein Browser-Plugin verwenden würdest, mit dem das Plugin den Keepass Safe auslesen kann. Generell ist der Browser ein zentrales Fenster zum Internet. Wirklich kritische Sicherheitslücken sind dementsprechend aber auch sehr, sehr selten. In the wild erinnere ich mich gerade nur an solche, welche von 'state actors', konkret China ausgenutzt wurden um z.B. die Uiguren auszuspionieren.

 

[M@rsupil@mi]

Unkritische / belanglose Sachen, wie Foren, im Browser. Rest in Keepass.

Hat auch den angenehmen Nebeneffekt, dass ich gar nicht erst auf die Idee komme mit 1-2 Klick sporadisch mal eben schnell was zu kaufen. Erfordert immer mehrere Schritte und die KP-Entsperrung.

 

[CoMo]

Erfordert immer mehrere Schritte und die KP-Entsperrung.

Keepass ist bei mir im Autostart und fragt mich schon beim Hochfahren nach dem Passwort. Alles andere wäre viel zu umständlich, ich brauche das ja zig mal am Tag. Alleine schon für die 2FA Codes. Außerdem ist es auf Windows mein SSH-Agent.

 

[IlluminatusUnus]

Ich speichere unkritische Passwörter (eigentlich alle außer E-Mail und Banking) im Browser. Habe die im Browser aber mit Windows-Hello geschützt. Keine Ahnung ob das was bringt.

 

[PC295]

Im Browser speichern oder nicht?

Ob du sie jetzt in Browser oder in einem separaten Programm speicherst macht vom Prinzip her keinen Unterschied. Denn die gängigsten Browser verwenden hierfür ebenfalls einen verschlüsselte Datenbank.
Die werden meist (wie bei Chrome) auch an das Windows-Nutzerkonto gebunden, dass heisst, dass auch niemand Zugriff auf die Passwörter erlangen kann, wenn der den Profil-Ordner des Browsers kopiert und auf einem anderen Rechner verwendet.

Andersherum aus der Sicht eines Passwortmanagers ist es ja auch nicht sicherer, wenn die Passwortdatenbank ständig geöffnet ist, weil du die Passwörter regelmäßig brauchst oder die Datenbank per Plugin/Erweiterung direkt an den Browser angebunden ist.

Und wenn der Browser löchrig ist und Passwörter aus Eingabefeldern ausgelesen werden können, bietet dir ja ein Passwortmanager wie Keepass nicht mehr Schutz. Denn die Passwörter werden im Klartext in die entsprechenden Felder in den Browser kopiert.

Von daher halte ich solche Passwortmanager für überflüssig.

 

[Brati23]

Danke für Eure Antworten.
Dann werde ich es weiterhin so handhaben und Mail sowie Bank "offline" lassen und den Rest im Browser Passwortmanager.
2FA ist ja oft auch noch im Weg.

Was ist ein "Browserkonto"?

Das Browser-Konto in dem die Einstellungen, Passwörter usw. gespeichert sind. In meinem Fall das Firefox-Konto.

 

[andy_m4]

Und wenn der Browser löchrig ist und Passwörter aus Eingabefeldern ausgelesen werden können, bietet dir ja ein Passwortmanager wie Keepass nicht mehr Schutz.

Bietet er im Prinzip schon.
Wenn der Browser exploited wird steht ihm nicht nur das gerade übertragene Passwort offen, sondern prinzipiell alle Passwörter.

Denn die gängigsten Browser verwenden hierfür ebenfalls einen verschlüsselte Datenbank.

Das schützt nur gegen Angriffe "von außen". Der Browser selbst muss ja drauf zugreifen können.
Ergo: Wird der Browser exploited, steht potentiell die ganze Datenbank im Zugriff.

Aber ja. Externe Passwort-Manager haben auch ein paar Drawbacks. Verwendet man ein Browser-Plugin zum Zugriff auf den Passwortmanager, dann hebt man die Trennung zwischen Browser und Passwortmanager auf. Überträgt man die Passwörter auf anderem Wege, kann das auch gefährlich sein. So was wie Zwischenablage oder auch emulated Keytyping kann von anderen laufenden Prozessen mitgelesen werden. Wobei, wenn der Rechner eh verseucht ist, machts kaum noch einen Unterschied.

Wenn mans richtig(!) macht, bleibt unterm Strich ein Sicherheitsvorteil Browser und Passwortmanager zu trennen.

 

[Oli_P]

Ich speicher die unkritischen Passwörter alle in meinem Browser. Einfach, damit ich die nicht ständig aus meinem Passwort-Manager kopieren muss.

Du kannst Keepass im Hintergrund laufen lassen und wenn du dich irgendwo einloggen willst, machst du einen "Autotype". Dann musste nicht mehr die Daten umständlich aus der Datenbank rauskopieren und irgendwo wieder einfügen. Total lästig und unkomfortabel (hab ich früher auch so gemacht). Und das schöne ist, du brauchst nix weiteres als Keepass um "Autotype" nutzen zu können. Kein Plugin, kein Browser-Addon Das einzige was ist, "Autotype" muss man für jede Seite einrichten. Aber die Einstellungen speichert man dann hinterher.

 

[larska]

Zugriff auf die Passwörter erlangen kann, wenn der den Profil-Ordner des Browsers kopiert und auf einem anderen Rechner verwendet.

Das ist mir nicht ganz klar....
Wenn ich meinen Profilordner auf einem neuen System installiere geht das ohne Probleme....

 

[PC295]

Wenn ich meinen Profilordner auf einem neuen System installiere geht das ohne Probleme....

Welcher Browser?
Bei z.B. Firefox fehlt dieses Sicherheits-Feature. Dort kannst du aber ein Master-Passwort aktivieren um die Passwörter vor Fremdzugriffen zu schützen.

 

[NarutoUzumaki]

Ich hatte bis vor einiger Zeit unkritische Passwörter immer im Opera-GX Browser gespeichert.
Inzwischen habe ich alles in Keepass + Browser Addon Kee, das ist genauso bequem wie die Browserspeicherung.
Man muss lediglich beim Start des Computers das Keepass Passwort eingeben.
Bei Opera GX war das immer mit der Windows-Hello Aufforderung abgesichert. Wie sicher das ist, weiß ich nicht.
Mit den gängigen Tools konnte man zumindest nichts auslesen, außer die Microsoft Edge Passwörter.

 

[Whitehorse1979]

Also ich hab so ein kleines Notizheft, da stehen alle PINs, Passwörter drin. Digital wird exakt 0 gespeichert. Die meisten Sachen habe ich im Kopf. Sollte ich etwas vergessen, weiss ich wo ich nachschauen muss.

 

[brianmolko]

Das wäre für mich viel zu unkompfortabel.

 

[larska]

Inzwischen habe ich alles in Keepass + Browser Addon Kee, das ist genauso bequem wie die Browserspeicherung.
Man muss lediglich beim Start des Computers das Keepass Passwort eingeben.

keepass xc nutze ich schon, aber nur als Passwort-Speicher... aus Faulheit, habe ich die Passwörter im Browser gespeichert... aber vielleicht sollte ich zumindest die sensiblen Passwörter mal mit dem add on von keepass nutzen...

 

[R-Fach]

Hallo Zusammen,

dies ist mein erster Post und daher ein freundliches "Hallo" an alle 🖐️
Was ich hier im Forum, in einigen Tagen Recherche gelesen habe....... und
auf der Suche nach einer Lösung, habe ich immer wieder was neues gefunden
Zu Problemlösungen, wurde auch alles zu Fuß erklärt, dass ist echt super !

Ha !
Jetzt hab ich einen Fred gefunden, in welchem ich evtl. richtig bin.....

Mein Problem:
Habe meine Zugangsdaten in Win 10, im Chrombrowser gespeichert und
natürlich nicht notiert, ist ja klar. 😕

Als ich anfangen wollte, die Daten zu notieren..... "bums", Stromausfall.......
HP-Laptop 250 G5 (natürlich ohne Akku), mit 2,5 HDD, nach dem Stromausfall "tod".

Laptop zerlegt, Platte raus, über Docking Station Zugriff auf Platte möglich.

Meine Frage:
Kann mich bitte mal jemand an der Hand nehmen und
mir helfen die Zugangsdaten irgendwie aus der Platte auszulesen,
oder irgendwo hin zu spiegeln, bootfähig machen oder klonen oder
.....keine Ahnung....

Biete dafür mein professionelles Airbrush-Wissen an.

Im Voraus Danke für Euere Mühe.....
Heinz

 

[PC295]

dies ist mein erster Post

Dann wäre es besser gewesen ein eigenes Thema zu erstellen...

Die Passwörter kannst du mit Chrome-Pass auslesen.
Da du die HDD extern einbindest, musst du in Chrome-Pass in den Erweiterten Einstellungen den Pfad für das Chrome-Profilverzeichnis sowie alte Benutzerkonto-Passwort dort hinterlegen.

 

[R-Fach]

Vielen Dank für Deine schnelle Antwort !
Danke auch für den Hinweis, dass ich ein eigenes Thema erstellen hätte sollen.

Ich habe tagelang im Forum gesucht, um ein m.E. passendes, bereits vorhandenes Thema zu finden und
um doppelte Postings / Fragen zu vermeiden !
Wie man es macht ......

Ich werd das mal probieren ....
Vielen Dank nochmals, für Deine Mühe.