Gespeicherte Passwörter vorm Auslesen schützen

  • Guten Morgen,

    wir haben hier in der Firma mehrere Rechner stehen die alle Firefox mit dem selben syncronisierten Profil nutzen, da wie zig Lieferanten mit Onlineshops usw. haben. Wir speichern also die Logindaten für alle diese Shops damit wir von jedem Rechner effizient arbeiten können.

    Was mir nicht so gefällt ist, dass jeder im Prinzip die Daten auslesen und mit heim nehmen oder weitergeben kann. Daher wollte ich mal nach einer Möglichkeit fragen, die Passwörter vor dem Auslesen zu schützen. Also das sie von jedem genutzt werden können, aber beim Auslesen ein Passwort eingegeben werden muss. Das Masterpasswort hilft da ja nicht, weil es ja jeder kennen und einmal pro Sitzung eingeben muss.

  • Hallo,

    Ich habe so meine Zweifel, dass es machbar ist ohne beträchtlichen Aufwand so eine Lösung

    Zitat

    die Passwörter vor dem Auslesen zu schützen. Also das sie von jedem genutzt werden können, aber beim Auslesen ein Passwort eingegeben werden muss.

    zu realisieren. Weil Firefox halt nicht für solche Zuriffsverwaltung-Szenarien konzipiert ist.

    Zitat

    Wir speichern also die Logindaten für alle diese Shops damit wir von jedem Rechner effizient arbeiten können.

    Dieser Widerspruch, Komfort- mit Sicherheitsanforderungen unter einen Hut zu bringen, kann nur durch eine durchdachte Definition: Was in der Firma mit "effizient" gemeint ist? abgeschwächt werden.

    Bei mir als Aussenstehenden kommt es so an, dass die derzeitige Effizienz-Definition in diesem Kontext entstanden ist:

    • wir vertrauen einander
    • wir hoffen, dass es gut geht
    • wir haben keine Zeit, um über Lösungsansätze nachzudenken, die mit weniger Risiken verbunden sind in einem Team, wo das Vertrauen nicht mehr da ist

    Ich tippe, dass in einem Umfeld mit gestörtem Vertrauen eher organisatorische Lösungsansätze - bspw. eine entsprechende Arbeitsteilung - zielführend sein könnten. Man hat hier nicht mit einem technischen, sondern einem organisatorischen Problem zu tun, dementsprechend muss der Lösungsansatz sein :).

  • Andreas hatte ich gelesen.
    Nur wenn ich ein Masterpasswort gesetzt habe --zumindest ist es bei mir so-kommt da keiner an Loogin Daten von mir.
    Das Masterpasswort sollte man ja auch nicht weitergeben.


    Ich bin kein Profi lerne aber immer dazu

    Chromebook Samsung Linux-Entwicklerumgebung

    Firefox Nightly

  • Die Anfrage des Themenerstellers ist leider tatsächlich unklar:

    Zitat

    Also das sie von jedem genutzt werden können, aber beim Auslesen ein Passwort eingegeben werden muss. Das Masterpasswort hilft da ja nicht, weil es ja jeder kennen und einmal pro Sitzung eingeben muss.

    Wieso ist das Master-Passwort nicht okay, ein nicht näher definiertes anderes Passwort aber schon? Auch ein anderes Passwort müsste bekannt sein.

    Aber von dem abgesehen, wenn Firefox die Passwörter auf einer Webseite nutzen soll, muss Firefox diese zwangsläufig im Klartext erhalten, daran führt kein Weg vorbei. Selbst, wenn die Passwörter per Master-Passwort geschützt sind. Nach der Eingabe kann Firefox darauf zugreifen. Und damit auch der Anwender von Firefox.

  • Na ja, etwas schwieriger (zumindest für Nicht-Spzialisten) wird es schon wenn Andreas per CSS-Befehl die entsprechenden Schaltflächen zum Anzeigen und zum Ändern der Daten einfach ausblendet. Und wenn dann noch die userCrome.css schreibgeschützt wird (mit Adminrechten) dann kann man die auch nicht so einfach löschen.

    Gruß Harry

    FF aktuell, 64Bit, Linux, Manjaro mit KDE

  • Wo ist die Schwierigkeit? Einfach auf der entsprechenden Webseite den Input-Type von password auf text ändern und das Passwort steht im Klartext da. Das kannst du auch nicht per userChrome.css oder userContent.css ausblenden, weil sonst ja die Eingabefelder auf der Webseite fehlen. Dazu muss man kein Spezialist sein. Die Entwicklerwerkzeuge des Browsers zu benutzen, lernt man heutzutage in der Schule.

  • Ich schrieb ja auch "etwas schwieriger". In meinem Bekanntenkreis gibt es nur sehr wenige denen ich das zutrauen würde. Die weitaus meisten wissen davon nichts. Es kommt immer drauf an...

    Gruß Harry

    FF aktuell, 64Bit, Linux, Manjaro mit KDE


  • Dazu muss man kein Spezialist sein.


    Was auch immer du unter Spezialist verstehst: Die allermeisten Firefox-Nutzer werden diese Vorgehensweise nicht kennen. Auf dein Umfeld bezogen mag das anders sein...

    Zitat

    Die Entwicklerwerkzeuge des Browsers zu benutzen, lernt man heutzutage in der Schule.


    Kommt darauf an, welche Schule du meinst.

    Außerdem gibt es noch andere Methoden, um ein Passwort in Klartext darzustellen. Mit Javascript z.B.

  • Der Begriff Spezialist ist eindeutig definiert, den muss ich nicht neu definieren. Dass es jeder wüsste, war gar nicht meine Aussage, ist für den Themenersteller auch gar nicht relevant. Er hat nach einem wirksamen Schutz gefragt. Das bringt ihm wenig, wenn es "nur" 2/10 schaffen, das sind immer noch zwei zu viel, wenn er das Auslesen von Passwörtern verhindern will.

    In meinem Beitrag ging es einzig und allein darum, dass das, was der Themenersteller will, nicht umsetzbar ist, auch nicht mittels userChrome.css und userContent.css. Wenn Firefox auf die Passwörter zugreifen soll, kann es der Nutzer zwangsläufig auch. Natürlich gibt es noch andere Möglichkeiten als das, was ich schrieb. Darum ging es aber in meinem Beitrag überhaupt nicht. Ich habe lediglich ein einfaches Beispiel dafür gebracht, dass sich das Auslesen nicht verhindern lässt, sobald Firefox darauf im Klartext zugreifen kann - was er nun einmal muss, um das Passwort in ein Passwortfeld einzufügen. Klar könnte man sich auch ein Script schreiben. Aber das wäre um ein Vielfaches komplizierter als das, was ich schrieb.

    Lange Rede, kurzer Sinn: soll verhindert werden, dass Passwörter ausgelesen werden, dürfen sie gar nicht erst gespeichert werden. Sobald die Passwörter zum Ausfüllen eines Passwortfeldes genutzt werden, können sie auch durch Menschen ausgelesen werden, da bringt auch ein zusätzlicher Passwortschutz nichts.

  • Hallo,

    ist ein brisantes Thema, aber dennoch ...

    ich würde es gut finden, wenn FF dem User die Möglichkeit bietet, selbst zu bestimmen, wo die Paßwörter gespeichert werden. So könnten diese auf einem Stick geschrieben und natürlich von dort auch wieder eingelesen werden. Diesen Pfad merkt sich FF.

    In der Zwischenzeit entferne ich den Stick ... besser wäre, ich könnte diesem eine Lesesperre verpassen ... findet FF den Stick nicht, kommt ein Hinweis ...

    von der Theorie her doch ziemlich einfach, oder? (ähnlich der Download-Speicherung) ... es müsste nur einer machen ...

    mit freundlichem Gruß

    Michael

    -----------------------------------

    nette Menschen gibt es überall

  • das hat sehr wohl mit dem Thema zu tun, denn, würde man jedem Mitarbeiter einen Stick in die Hand drücken, dann wären alle Paßwörter auf einem Stick und schon wären die weg vom PC ... also, so themenfremd ist mein Beitrag nun doch nicht ...

    mit freundlichem Gruß

    Michael

    -----------------------------------

    nette Menschen gibt es überall

  • Aber grundsätzlich ist es doch mal eine gute Idee für ein neues AddOn was das Problem löst. Ich denke, daß man alle möglichen Dinge ausblenden können sollte (nicht nur die Anzeige weg, auch die Ausführung mit den F-Tasten etc), z.B. die Einstellungen, die diversen about-Seiten, Webmastertools, Passwortanzeige, AddOn-Seiten, Bookmark-Änderungen etc.

    Dann muß der Admin noch das Verzeichnis mit den AddOns und wohl noch einige editierbare Dateien mit einem Admin-Schreibschutz versehen (dafür gibt es dann ein Script damit er nichts vergißt) und beim Rechnerstart wird bei jedem Rechner dieses Profil automatisch vom Server geladen. Dann hat er Admin schon mal recht viel für die Sicherheit getan.

    Sören, juckt es Dir nicht schon in den Fingern?

    Gruß Harry

    FF aktuell, 64Bit, Linux, Manjaro mit KDE


  • würde man jedem Mitarbeiter einen Stick in die Hand drücken, dann wären alle Paßwörter auf einem Stick und schon wären die weg vom PC ... also, so themenfremd ist mein Beitrag nun doch nicht ...

    Bin nach wie vor der Meinung, dass es nicht zielführend ist, im Firefox derart Zugriffsverwaltung-Features zu realisieren. Weil Firefox genauso wenig dafür geeignet ist, diese Zugriffsverwaltung-Features zu realisieren wie eine Tür. Firefox genauso wie eine Tür - beide sind eigentlich dafür konzipiert, um einen komfortablen Zugang zu bestimmten Räumen zu realisieren. Wenn aber bestimmte Zugangsbeschränkungen benötigt werden, sind - je nach Kontext - entsprechende Vorrichtungen hinzuzufügen, die dafür geeignet sind. Ein Haken, ein Türriegel oder halt ein Schloss, wenn es um die Tür geht. Man kann auch einen Wächter aus Fleisch und Blut als Zugangsbeschränkung postieren :). Es ist kein Zufall, dass die Schlösser im Massengeschäft eine separate Vorrichtung darstellen, die je nach Anwendungsszenario unterschiedlich aufwendig gebaut werden. Und es ist kein Zufall, dass es jeweils unterschiedliche Anbieter sind, die Türen oder Schlösser entwickeln und anbieten.

    Was die Stick-Lösung angeht. Hat dieser Stick keine Lesesperre, dann sind die Passwörter in einem Team, wo kein Vertrauen da ist, noch unsicherer - die wären da auf dem Stick wie auf einem Präsentierteller zum Abholen serviert :).

  • Hallo Michael,

    lies nochmal nach oben: der Threadersteller schrieb von einem synchronisierten Profil, ergo nutzen wohl alle dasselbe (bzw. gleichlautende Kopien). Dann hat auch jeder MA dieselben Passwörter zur Verfügung und deine Sticklösung bringt genau nichts.

    Letztlich will der Threadersteller die Quadratur des Kreises: alle sollen die(selben) Passwörter benutzen, aber niemand soll sie kennen. Ob es pro Lieferant nur ein Konto gibt oder ob jeder eigene MA ein eigenes Konto bei jedem Lieferanten hat, diese Information steht nicht zur Verfügung.

    MfG
    Drachen