Sicherheit gespeicherte Passwörter in Firefox?

  • Firefox-Version
    86.0.1 (64-Bit)
    Betriebssystem
    Win10

    Guten Tag zusammen.

    Ich lasse einige PW von Firefox speichern. Allerdings zu Zeit nur unwichtigere...

    Nun Frage ich ich ob ich das auch für wichtigere PW benutzen kann.

    Wie sicher sind die von Firefox gespeicherten Passwörter geschützt?

  • Da gibts vieles in der Datenbank

    https://support.mozilla.org/de/kb/wie-fire…icher-speichert

    https://support.mozilla.org/de/kb/gespeich…sswort-schutzen

    Bei grundlegenden Fragen durchsuche doch bitte zunächst immer erst die vorhandene und gut gepflegte Bühne :)

    https://support.mozilla.org/de/products/firefox

  • Hallo,

    die in Firefox gespeicherten Passwörter sind so sicher wie der Zugriff auf dein System gesichert ist. Der einfachste Fall: Wenn du jemand anderen an deinen Computer lässt, kann diese Person deine Zugangsdaten ganz normal in Firefox über about:logins lesen.

    Ansonsten: Über Zugriff auf das Profilverzeichnis können erst einmal weder Benutzernamen noch Passwörter ausgelesen werden, da diese verschlüsselt gespeichert werden. Allerdings könnte die entsprechende Datei als Ganzes kopiert werden. Ab dem Moment braucht es keinen Zugriff mehr auf dein System, die Datei kann überall entschlüsselt werden, wo Firefox installiert ist. Falls sich jemand physisch an deinem Computer den Zugriff verschafft, sind wir beim gleichen Punkt wie mit about:logins: Man lässt niemand anderen unbeaufsichtigt an seinen Computer. Für den Fall eines Schadsoftware-Befalls könnte man argumentieren: Wenn ein Angreifer vollen System-Zugriff besitzt, dann hast bereits weit größere Probleme. Dann kann dir der Angreifer auch einen Keylogger unterjubeln, da nützt dir dann auch der beste Schutz der Passwörter in Firefox nichts mehr.

    Aber wenn du dich damit sicherer fühlst, könntest du ein Hauptpasswort in Firefox festlegen. Dann ist eine Entschlüsselung der Passwörter nicht mehr ohne Eingabe des Hauptpasswortes möglich. Datei kopieren und woanders einfügen ist dann also kein Thema mehr. Aber wie gesagt, gegen einen Keylogger hilft dir das auch nicht.

    Darum besteht der wichtigste Teil des Schutzes deiner Zugangsdaten im allgemeinen Schutz deines Systems, was einschließt, Software immer aktuell zu halten und nicht mit Administrator-Rechten im Web zu surfen.

    Achja: "Nur unwichtigere" Passwörter in Firefox zu speichern, ist nur so lange hilfreich, wie du auch überall unterschiedliche Passwörter verwendest. Wenn du eh überall das gleiche Passwort verwendest, dann reicht eines deiner vermeintlich unwichtigeren Passwörter vielleicht schon aus, um sich woanders Zugriff zu verschaffen, wo es um mehr geht. Also auch das gehört zum Sicherheits-Konzept dazu: Nicht ein Passwort für alles verwenden. Damit im Fall der Fälle nicht alles betroffen ist, wo du einen Account hast. Da geht's nicht unbedingt nur um die Sicherheit deiner Passwörter in Firefox. Es können ja auch von einer Website, auf der du registriert bist, Daten gestohlen werden, die dort vielleicht nicht oder nicht wirksam verschlüsselt sind. Und die Daten kann der Angreifer dann überall ausprobieren.

  • Ich passe auf mein system auf und die von dir angesprochenen Dinge wie Admin oder Aktualität ist sichergestellt.

    Keylogger ist natürlich eine andere Sache aber da bin ich Vorsichtig und Wachsam.

    Ich benutze mehrere Passwörter je nach meiner gewünschten Sicherheitsstufe. Aber inn Firefox wären diese

    Passwörter dann gespeichert.

    Wie funktioniert das mit dem Hauptpasswort in Firefox?

    (Mir ist die Funktion gerade in den Einstellungen, Datenschutz aufgefallen)

  • Wie funktioniert das mit dem Hauptpasswort in Firefox?

    Aus dem Hauptpasswort wird ein Schlüssel abgeleitet, mit welchem die Datenbank mit deinen Passwörtern verschlüsselt wird.

    Dieses Passwort bestimmt also die Sicherheit aller deiner im Browser gespeicherten Passwörter. Und die genutzte Verschlüsselung ist auf alle Fälle für unsere privaten Zwecke völlig ausreichend.

    Und jetzt betrachten wir das ganze einmal genau anders herum.

    Wenn du dir einige Passwörter merkst oder aufschreibst, dann sind diese PW mit großer Wahrscheinlichkeit so genannte Trivialpasswörter. Ich kenne niemanden, der sich so richtig gute PW, und zwar für jeden Zugang ein anderes, merken kann oder jedes mal von einem Zettel abtippt.

    Wenn du allerdings einen Passwortmanager benutzt (und wenn es der des Fx ist), dann kannst du für jeden einzelnen Zugang ein eigenes, langes, komplexes und garantiert nicht merkbares PW benutzen, welches du dir niemals (*) merken oder händisch eingeben musst.

    Ich meine damit solche PW wie dieses hier: h_B1@|3@E+&)fXVl<7-.W&}2

    (*) Diese PW lasse ich durch meinen im PW-Manager vorhandenen PW-Generator generieren und füge sie dann via Zwischenablage sowohl auf dem Server als auch in den Zugangsdaten ein.

  • Ich kenne niemanden, der sich so richtig gute PW, und zwar für jeden Zugang ein anderes, merken kann oder jedes mal von einem Zettel abtippt.

    Ich verwende überall unterschiedliche Passwörter, die eine gute Komplexität besitzen, und muss dafür nirgends nachschlagen. Der Trick ist, dass man sich überhaupt nicht zig verschiedene Passwörter merken muss, sondern lediglich ein System, aus welchem man alle Passwörter ableiten kann. Dieses System existiert ausschließlich in meinem Kopf und ist weder irgendwo gespeichert noch notiert oder einfach zu erraten. Natürlich erfordert es einen nicht geringen einmaligen Aufwand, sich ein solches individuelles System zu überlegen, dieses wirklich zu verinnerlichen und konsequent umzusetzen. Aber das Ergebnis ist lohnenswert: Sichere Passwörter, die auf jeder Website anders sind, und trotzdem keine zwingende Notwendigkeit, sich irgendetwas zu notieren oder zu speichern, weder lokal noch auf einem Server, gleichzeitig aber trotzdem immer und überall die Möglichkeit, darauf zuzugreifen.

    Jedenfalls ist es definitiv falsch zu sagen, dass ein Passwort dann sicher ist, wenn man es sich nicht merken kann. Die Sicherheit eines Passworts wird durch die Entropie bestimmt und das Thema Entropie hatten wir vor nicht so langer Zeit schonmal hier im Forum, darum erspare ich mir an dieser Stelle eine Erklärung. Und mein Ansatz zeigt ja auch, dass es sehr wohl möglich ist, Sicherheit und die Fähigkeit zum Merken zu kombinieren. ;)

  • Man muss ja auch mal sagen das man das Kind im Dorf lassen kann... :) Man kann es auch überteiben.

    mir reicht es vollkommen aus nicht ein Passwort für alles zu haben.

    Nun ist mir aufgefallen das dieses Masterpasswort im Firefox wohl nicht vor dem Zugriff auf die Passwortliste schützt

    sondern für den Schutz vor Export der PW Liste hilft. Richtig?

  • Alternativ: nutz a gscheiden PW-Manager. Vorteil: dort kannst Infos eintragen die über PW von Firefox hinausgehen. Die entsprechende Datei kannst du (mehrfach) absichern und z.B. auch auf dem Smartphone, Tablet, Zweitrechner ... nutzen.

    Empfehlen kann ich dir: Keepass. Gibt für Smartphones entsprechende Apps. Wer's richtig cloudig mag, kann auch gern via Webdienste (z.B. Dropbox oder (seine eigene) Nextcloud) synchronisieren.

    Halte ich für nochmal zuverlässiger und, wie gesagt, breiter aufgestellt als in Firefox selbst

  • Und was ist mit deinem digitalem Nachlass?

    Dafür muss niemand das Passwort-System kennen. Ist ja nicht so, dass dann jemand Zugriff auf alle meine Accounst bräuchte, ganz im Gegenteil.

    Nun ist mir aufgefallen das dieses Masterpasswort im Firefox wohl nicht vor dem Zugriff auf die Passwortliste schützt

    sondern für den Schutz vor Export der PW Liste hilft. Richtig?

    Du musst mindestens einmal in der Browser-Sitzung deine Passwörter mittels Hauptpasswort entschlüsselt haben, vorher ist kein Zugriff möglich. Aber danach musst du nicht jedes Mal neu das Passwort eingeben, wenn du wieder darauf zugreifst.

    Alternativ: nutz a gscheiden PW-Manager. […] Die entsprechende Datei kannst du (mehrfach) absichern und z.B. auch auf dem Smartphone, Tablet, Zweitrechner ... nutzen.

    Dafür kann man auch im Firefox-Ökosystem bleiben und muss keinem weiteren Unternehmen vertrauen. Firefox Sync und auf dem Smartphone respektive Tablet Firefox Lockwise. Damit hat man in jeder beliebigen App Zugriff auf die Passwörter, nicht nur in Firefox.