Passwörter im Browser speichern - wie (un)sicher?
- Ersteller EmmaL
- Erstellt am
Naja was dann? Wenn dich jemand mit Malware infiziert, bist du eh fu****
Password Manager sind genauso unsicher, falls du einen Keylogger hast.
Das Beste was du tun hast ist dir einen E-Mail Account bei einem Anbieter zu erstellen wie Fastmail, Startmail etc. und Masked/Alias Emails anlegen für jede Seite wo du registriert bist. Natürlich auch für jede Seite ein eigenes Passwort. Gegen einen gezielten Angriff mit Malware die Keylogger beinhaltet/nachlädt nützt das auch nichts, aber es schützt gegen Leaks/Hacks der Websites, die ja am häufigsten Daten kompromitieren
Password Manager sind genauso unsicher, falls du einen Keylogger hast.
Das Beste was du tun hast ist dir einen E-Mail Account bei einem Anbieter zu erstellen wie Fastmail, Startmail etc. und Masked/Alias Emails anlegen für jede Seite wo du registriert bist. Natürlich auch für jede Seite ein eigenes Passwort. Gegen einen gezielten Angriff mit Malware die Keylogger beinhaltet/nachlädt nützt das auch nichts, aber es schützt gegen Leaks/Hacks der Websites, die ja am häufigsten Daten kompromitieren
Nilson
Grand Admiral
- Registriert
- Dez. 2008
- Beiträge
- 25.105
Durch das verwenden verschiedener Passwörter auf verschiedenen Seiten hast du so oder so einen Sicherheitsgewinn.
Wenn, dann würde ich die ganzen Passwörter dann aber in einer eigenen Lösung speichern. Selbst wenn das per se nicht unbedingt sicherer ist, so sind die meisten Lösungen Plattformübergreifend und du kannst die gespeicherten Passwörter auch in anderen Browser oder auf dem Smatphone abrufen.
Zusätzlich wo es geht 2FA aktivieren, als zweite Sicherheitsebene.
Wenn, dann würde ich die ganzen Passwörter dann aber in einer eigenen Lösung speichern. Selbst wenn das per se nicht unbedingt sicherer ist, so sind die meisten Lösungen Plattformübergreifend und du kannst die gespeicherten Passwörter auch in anderen Browser oder auf dem Smatphone abrufen.
Zusätzlich wo es geht 2FA aktivieren, als zweite Sicherheitsebene.
Naja, ob du dich sicher fühlst hat recht wenig damit zu tun ob du sicher bist....
@TE Guck dir mal 1Password an + Fastmail, sind beide miteinander verlinkt, kosten aber halt Geld (und das nach dem shitty SaaS Model). Ansonsten wie gesagt Startmail.com, kostet auch Geld, ist aber billiger als Fastmail und EU based.
@TE Guck dir mal 1Password an + Fastmail, sind beide miteinander verlinkt, kosten aber halt Geld (und das nach dem shitty SaaS Model). Ansonsten wie gesagt Startmail.com, kostet auch Geld, ist aber billiger als Fastmail und EU based.
cartridge_case
Fleet Admiral
- Registriert
- Feb. 2009
- Beiträge
- 33.765
Das ist falsch. Es reicht physischer Zugriff. Ein Passwort von Windows schützt auch 2022 noch keine Daten!thrawnx schrieb:
Wenn man ein Master-Passwort nutzt!Blende Up schrieb:
cartridge_case schrieb:
Was denkst du denn was gemeint war? Natürlich dass jemand sein Windows entsperrt und einfach die PW anguckt... Und wenn FF es von sich aus überhaupt nicht encrypted, ist das nicht auf physischen Zugriff beschränkt, da Malware auch Daten wegmoven kann übers Inet
cartridge_case
Fleet Admiral
- Registriert
- Feb. 2009
- Beiträge
- 33.765
Nein, das steht nirgends. Wenn das Dingen geklaut wird, liegen die Daten offen.thrawnx schrieb:
R
RalphS
Gast
Die sind zumindest besser geworden. Gab ja auch mal Zeiten, da war das einfach Klartext.
Dennoch bleibt bei "den meisten" (vermutlich eher "allen"....) ein Cloud-Backend. Da hat man sein Einfallstor. Ob das jetzt ein extra cloudgestützter PW-Manager war oder ein browsereigener.... meh.
Nennen wir's Schlangenöl? 🤷♀️
Vor allem vor dem Hintergrund, daß die bloße Existenz eines Passworts für einen Service schon ein Problem darstellt, nämlich exakt über den jeweiligen Anwender. Besser(tm) wäre wohl ein Hardwaretoken wie yubikey (allerdings aufgebohrter) wo es keine Passwörter als solches mehr gibt, sondern nur noch ein Challenge-Response-System oder ein Ticketsystem auf Basis von X.509 oder Kerberos. Oder irgendwas anderem natürlich.
Dennoch bleibt bei "den meisten" (vermutlich eher "allen"....) ein Cloud-Backend. Da hat man sein Einfallstor. Ob das jetzt ein extra cloudgestützter PW-Manager war oder ein browsereigener.... meh.
Nennen wir's Schlangenöl? 🤷♀️
Vor allem vor dem Hintergrund, daß die bloße Existenz eines Passworts für einen Service schon ein Problem darstellt, nämlich exakt über den jeweiligen Anwender. Besser(tm) wäre wohl ein Hardwaretoken wie yubikey (allerdings aufgebohrter) wo es keine Passwörter als solches mehr gibt, sondern nur noch ein Challenge-Response-System oder ein Ticketsystem auf Basis von X.509 oder Kerberos. Oder irgendwas anderem natürlich.
Konfekt
Lt. Junior Grade
- Registriert
- Nov. 2020
- Beiträge
- 307
Ich glaube, es geht ihm darum, ob FF die gespeicherten Zugangsdaten irgendwie verschlüsselt, oder praktisch im Klartext in den Tiefen seiner Ordner ablegt, so dass z.B. Seite www.halloichklauepasswörter.banoi diese Zugangsdaten auslesen könnte, oder im Zweifel eine Anwendung auf seinem Rechner.
Soweit ich weiß, zumindest steht das so in der offiziellen FF Doku, werden Zugangsdaten verschlüsselt in FF abgelegt. Wie stark und sicher dieser Verschlüsselung ist, keine Ahnung.
Davon unabhängig sind freilich Themen wie Keylogger, andere physische Nutzer des Rechners, Trojaner, etc...
Aber Du kannst erst einmal davon ausgehen, dass Deine in FF gespeicherten Zugangsdaten NICHT irgendwo als eine Klartextliste herumfliegen. Wäre auch eine echte Sauerei
Soweit ich weiß, zumindest steht das so in der offiziellen FF Doku, werden Zugangsdaten verschlüsselt in FF abgelegt. Wie stark und sicher dieser Verschlüsselung ist, keine Ahnung.
Davon unabhängig sind freilich Themen wie Keylogger, andere physische Nutzer des Rechners, Trojaner, etc...
Aber Du kannst erst einmal davon ausgehen, dass Deine in FF gespeicherten Zugangsdaten NICHT irgendwo als eine Klartextliste herumfliegen. Wäre auch eine echte Sauerei
kieleich
Lt. Commander
- Registriert
- Apr. 2020
- Beiträge
- 1.870
Wenn du Firefox kein Passwort geben musst sondern der sich das selbst entschlüsselt dann ist es, für jederjemand mit Zugriff und Know-How, wert losKonfekt schrieb:
Ansonsten hängt es an der Sicherheit/ Komplexität/ Entropie des gefragten Passwortes
