ComputerBase Menü
Aktuelles

warum ist das Speichern von PWs in Firefox unsicher?

C

Caine1

Commander
Registriert
Aug. 2006
Beiträge
2.158
aber programme wie keepass usw als sicher(er) eingestuft? ernstgemeinte frage :), danke
 
Weil schadhafte Websites nur eine Lücke im Browser weit davon entfernt sind, alle deine Passwörter zu klauen.
Zudem ist die Speicherung standardmäßig ohne Master-Passwort, also unverschlüsselt. Setzt man ein Master-Passwort ist das ganze nicht viel unsicherer als z.B. KeePass.

Man muss aber aufpassen, weil Firefox bei Updates in der Vergangenheit schonmal die Passwortliste in ein neues Format umgewandelt, dabei aber die Datei mit dem alten Format nicht gelöscht hat. Beim setzen eines Master-Passworts wurde dann nur die Datei mit dem neuen Format verschlüsselt, während das alte Format weiterhin unverschlüsselt rumlag. Sichere Passwortspeicherung ist hier eben keine Priorität #1, anders als bei einem dedizierten Programm wie KeePass.
 
Weil jeder, der deinen Browser starten kann, damit automatisch Zugriff auf deine Passwörter hat? Zumindest über Autofill. Passwort-Manager dagegen stehen üblicherweise erst nach erfolgreicher Authentifizierung zur Verfügung. Darüber hinaus haben Passwort-Manager oft ausgefeiltere Verschlüsseluingsmechanismen zum Speichern der PWs auf der Festplatte.

Allerdings ist deine Skepsis berechtigt: Nicht alle Passwort-Manager sind sicher. c't 7/18 hatte hierzu einen ausführlichen Test. Das von dir genannte KeyPass schnitt dabei, soweit ich mich erinnere, sehr gut ab:
https://www.heise.de/ct/ausgabe/2018-7-Fuenfzehn-Passwortmanager-im-Test-3992417.html

Bei einem weiteren Test, inwiefern die Passwort-Manager die Daten im Hauptspeicher selbst (wenn die Programme gestartet sind) zuverlässig schützen, brachte allerdings ernüchternde Ergebnisse: https://www.heise.de/ct/ausgabe/201...uf-Passwortmanager-unter-Windows-3991668.html
 
Caine1 schrieb:
aber programme wie keepass usw als sicher(er) eingestuft?
Zum Vergrößern anklicken....
Weil ein Angriff gegen den Browser dann potentiell auch die gespeicherten Passwörter betrifft.
Hat man die Passwörter getrennt vom Browser aufbewahrt, ist die Hürde für den Angreifer höher da heran zu kommen.
 
vielen dank! sehr einleuchtend, ok, dann mache ich weiter alle gespeicherten passwörter vom firefox in keepass zu speichern. ufffff, was für eine arbeit :/
 
Warum speichert man überhaupt im PC Passwörter musst du dich fragen? Man speichert keine! Man legt sich ein gutes an und erweitert das mit anderen Endungen. Das Ganze schreibt man sich auf Papier wenn überhaupt denn das kann man nicht hacken. Ich habe 21 Passwörter und alle im Kopf. Ich habe meine Kontodaten selbst den I-Ban und Onlinebanking Zuganscodes kenne ich auswendig. Übung macht den Meister sagt man und hält Hirn fit ;=)
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: cbtestarossa, DieRenteEnte und DannyA4
Hallo

soll keepass absolut sicher sein ,kann ich mir nicht vorstellen
bolli2
 
|SoulReaver| schrieb:
Warum speichert man überhaupt im PC Passwörter musst du dich fragen? Man speichert keine! man legt sich ein gutes an und erweitert das mit anderen Endungen. Das Ganze schreibt man sich auf Papier wenn überhaupt denn das kann man nicht hacken. Ich habe 21 Passwörter und alle im Kopf. Ich habe meine Kontodaten selbst den I-Ban und Onlinebanking Zuganscodes kenne ich auswendig. Übung macht den Meister sagt man und hält Hirn fit ;=)
Zum Vergrößern anklicken....

na ich habe etliche foren, seiten, shops etc. da nutzte ich ft verschiedene pws, denn sollte mal 1 seite gehackt werden haben sie nicht 1 passwort was ich überall verwende.
 
21 Passwörter sind ja niedlich. ich hab an die 300, da wäre es höchst fahrlässig, sowas im Kopf behalten zu wollen.
 
  • Gefällt mir
Reaktionen: porenbeton und S K Y N E T
|SoulReaver| schrieb:
Ich habe meine Kontodaten selbst den I-Ban und Onlinebanking Zuganscodes kenne ich auswendig.
Zum Vergrößern anklicken....
Uh... Ich auch... Und trotzdem steh ich manchmal vorm Bankautomaten und muss dreimal überlegen wie meine PIN war, welche mir dann erst bei der dritten Eingabe wieder einfällt!

@TE: Gib dem Ganzen ein Master-Passwort, dann ist die Sicherheit ausreichend, denn dann wird die Liste verschlüsselt abgelegt. Mir wäre jetzt kein Test/Audit bekannt, welches die üblichen Tools prüft, wie die ihre Daten im RAM ablegen. Insofern ist ein Drittanbietertool genauso wenig unsicher wie der Browser selbst. Die Vermutung liegt nahe, dass diese in Sachen Sicherheit besser dastehen, aber nur weil Rindfleisch drauf steht, kann genauso Pferd und Schwein drin sein.

Keepass ist aber ok, das wurde bereits auditiert und nichts Gravierendes gefunden.
 
  • Gefällt mir
Reaktionen: |SoulReaver|
Weil bei einem Leck im Browser die Daten schnell weg sind. Wenn du nun ein externes Programm verwendest, kommt man da nicht so einfach ran als wenn sie im Browser hinterlegt und "unverschlüsselt" sind.

Hab auch einfach ein Master-Passwort gesetzt und gut ist. Wichtige E-Mails, Paypal etc. werden nicht gespeichert und werden immer manuell eingegeben, somit hat sich das von meiner Seite. Wenn sich jemand die gespeicherten Passwörter schnappt, könnte er jedenfalls kein gravierenden Schaden anrichten, weil nur Passwörter für Unterhaltung, Foren etc.
 
|SoulReaver| schrieb:
Warum speichert man überhaupt im PC Passwörter musst du dich fragen? Man speichert keine! Man legt sich ein gutes an und erweitert das mit anderen Endungen.
Zum Vergrößern anklicken....
Naja. Ein Szenario gegen das man sich schützen möchte ist ja, dass wenn von einem Dienst die Passwörter "erbeutet" werden die Accounts aller anderen Dienste sicher bleiben.

Deine Strategie ein gutes Passwort zu wählen und die mit einer Endung zu individualisieren durchbricht ja so ein wenig die Sicherheit. Weil Dein Primärpasswort ist bekannt und man muss jetzt eigentlich nur noch die Endungen "bruteforcen". Evtl. ist sogar direkt ein Muster erkennbar a-la "Masterpasswort+domainname".

Bolli2 schrieb:
soll keepass absolut sicher sein ,kann ich mir nicht vorstellen
Zum Vergrößern anklicken....
Nichts ist sicher. Letztlich gehts nur darum, die Hürden möglichst hoch und zahlreich zu machen.
 
  • Gefällt mir
Reaktionen: Tumbleweed
andy_m4 schrieb:
Naja. Ein Szenario gegen das man sich schützen möchte ist ja, dass wenn von einem Dienst die Passwörter "erbeutet" werden die Accounts aller anderen Dienste sicher bleiben. Deine Strategie ein gutes Passwort zu wählen und die mit einer Endung zu individualisieren durchbricht ja so ein wenig die Sicherheit. Weil Dein Primärpasswort ist bekannt und man muss jetzt eigentlich nur noch die Endungen "bruteforcen". Evtl. ist sogar direkt ein Muster erkennbar a-la "Masterpasswort+domainname"
Zum Vergrößern anklicken....

Ich bin so schon über 10 Jahre unterwegs und fahre damit gut. Die Endungen finden ist recht unwahrscheinlich. Weiters habe ich auch eingestuft in wichtig und normal mehrere E-Mailadressen die ebnenfalls so aufgebaut sind. Zwei davon für Ubsisoft und Steam. Beide verwende ich nicht die sind so zu sagen still, außer ich habe anfragen an diese. Das Selbe bei Ebay und Amazon gemacht Paranoid? Nein einfach nur vorsichtig.
 
|SoulReaver| schrieb:
Ich bin so schon über 10 Jahre unterwegs und fahre damit gut.
Zum Vergrößern anklicken....
Nur weil man etwas lange so gemacht hat, heißt das nicht automatisch, dass es gut ist. Oder immer noch gut ist.

|SoulReaver| schrieb:
Die Endungen finden ist recht unwahrscheinlich.
Zum Vergrößern anklicken....
Wie gesagt. Man verkürzt damit die Länge des Passwortes extremst, wenn einmal das "Hauptpasswort" geleakt ist.
Ich hab erklärt warum.
 
  • Gefällt mir
Reaktionen: Nase
andy_m4 schrieb:
Deine Strategie ein gutes Passwort zu wählen und die mit einer Endung zu individualisieren durchbricht ja so ein wenig die Sicherheit. Weil Dein Primärpasswort ist bekannt und man muss jetzt eigentlich nur noch die Endungen "bruteforcen". Evtl. ist sogar direkt ein Muster erkennbar a-la "Masterpasswort+domainname".
Zum Vergrößern anklicken....
Genau auf diesen Umstand hatte ich -- im Zuge Deiner eigenen Sicherheits-FAQ -- bereits 2015 hingewiesen:
-> https://www.computerbase.de/forum/threads/sicherheits-faq.1530623/page-2#post-18099754

andy_m4 schrieb:
Wie gesagt. Man verkürzt damit die Länge des Passwortes extremst, wenn einmal das "Hauptpasswort" geleakt ist.
Zum Vergrößern anklicken....
Eben. Nur steht es nach wie vor noch auf Deiner Website so wie 2015:
-> http://xserv.bplaced.net/hp/security-faq.html

Bedeutet für diesen Thread: Die Wahl komplexer und dabei signifikant unterschiedlicher Passwörter für Web-Dienste ist ein ebenso elementarer Punkt auf der einen Seite, wie die Systemabsicherung gegen sensible Daten auslesende Malware und ein sorgsamer Umgang mit Passwörtern auf der anderen Seite. Es reicht also nicht aus, zwischen Browser und Passwortmanager zu überlegen, sondern wenn man für einen guten Passwort- und Accountschutz sorgen möchte, muss man mehrere aufeinander abgestimmte Maßnahmen konsequent umsetzen.

Weshalb speziell Firefox diesbezüglich in der Kritik stand, ist wahrscheinlich folgender Umstand:
-> https://nakedsecurity.sophos.com/20...n-firefoxs-master-password-is-still-insecure/

Man muss allerdings auch bedenken, dass es in Passwortmanagern immer wieder Softwarefehler gibt, Beispiel:
.> https://www.pcworld.com/article/318...another-serious-vulnerability.html#tk.rss_all
 
Dr. McCoy schrieb:
Genau auf diesen Umstand hatte ich -- im Zuge Deiner eigenen Sicherheits-FAQ -- bereits 2015 hingewiesen
Zum Vergrößern anklicken....
Ja. Unter anderem auch wegen Deinem Hinweis halte ich die Vorgehensweise auch nicht mehr für optimal.

Ist doch eigentlich der beste Fall, wenn man etwas aus externem Output lernt.

Dr. McCoy schrieb:
Eben. Nur steht es nach wie vor noch auf Deiner Website so wie 2015:
Zum Vergrößern anklicken....
Stimmt. Ich hab sie noch nicht überarbeitet, verlinkte sie aber auch nirgends mehr.
 
Passwortmanager stellen schon eine gute Möglichkeit dar. Über diese lassen sich wirklich zufällig erstelle Passworte generieren, denn alle vom Menschen ausgedachten Passwörter sind nicht ausreichend randomisiert. Den Browser sollte man hier nicht nehmen, ein Passwort-Manager sollte kein Programm sein, welches von sich aus irgendwelche Verbindungen managed.

Zur Sicherung der Passwortdatenbank nimmt man eine möglichst lange Passphrase (5-7 Wörter lang), welche man sich merkt. Auch diese sollte möglichst randomisiert sein (über ein script, am besten selbst schreiben, oder offline mittels Diceware-Verfahren).

Ob der Passwort-Manager sicher ist? Nichts ist zu 100% Sicher. Ich persönlich würde darauf achten, dass der Passwort-Manager Open-Source ist, da so:
  • Sicherheitslücken schnell gefunden und behoben werden können
  • man sicher sein kann (weil überprüfbar), dass die Software selbst keine Passwortdaten abfischt
Damit hat man auf jeden Fall ausreichende Sicherheit vor z.B. Brute-Force Attacken, da die Passwörter ausreichend lang und randomisiert sind.

Wovor man natürlich weiterhin nicht gefeilt ist: Dienstanbieter die Passwörter im Klartext speichern, welche dann bei Datendiebstählen erbeutet werden.
 
  • Gefällt mir
Reaktionen: cbtestarossa
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

H
Chrome und Firefox sind angeblich unsicher
2
Antworten
21
Aufrufe
2.348
Somerset
S
C
Speichern von PWs - reicht eine Datenbank wie KEEPASS?
2
Antworten
26
Aufrufe
2.809
Munsterbuster
M
K
Warum ist PKSC#1 unsicher
Antworten
3
Aufrufe
1.310
wirelessy
W
T
Passwort Manager: Warum nicht gleich über den Browser Passwörter speichern? Unsicher?
Antworten
10
Aufrufe
2.306
DatAres
D
F
Warum sind Sandboxen unter 64-bit unsicher(er)?
Antworten
8
Aufrufe
1.755
ManOki
ManOki
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 170 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz