Passwort auf Website wird ohne mein Zutun geändert

    Firefox-Version
    127.0.2
    Betriebssystem
    Win10

    Ich benutze beruflich eine Website, auf der ich mich mit Benutzername und Passwort einlogge, also genau so wie hier im Forum. Das PW wird im Firefox gespeichert, sodass ich nur noch mein Master-Passwort eingeben muss. Das funktioniert auch auf vielen Websites einwandfrei, nur auf einer nicht. Hier werde ich nach der Eingabe des Master-Passwortes gefragt, ob das Passwort aktualisiert werden soll. Der aktualisierte Vorschlag ist auch schon im Feld eingegeben. Dieses PW ist mir aber ganz unbekannt, es funktioniert auch nicht und es hat sagenhafte 170 Stellen.

    Was läuft da verkehrt?

    Ich habe jetzt testhalber mal das PW im FF entfernt, um es danach neu zu speichern. Jetzt wird das richtige Passwort mit 12 Zeichen direkt in das PW mit mehr als 170 Zeichen geändert. Speichere ich dieses komische PW ab, kann ich mich damit aber nicht einloggen. Jetzt funktioniert es also gar nicht mehr, d.h. ich werde nicht gefragt, ob ich das PW aktualisieren möchte, sondern ich kann das richtige PW gar nicht mehr speichern.

    Einmal editiert, zuletzt von scotti (8. Juli 2024 um 07:09) aus folgendem Grund: Ein Beitrag von scotti mit diesem Beitrag zusammengefügt.

    OK, danke. Dann werde ich mal mit dem Betreiber der Website Kontakt aufnehmen. Komisch ist nur, dass beim Aufruf der Seite mit dem Smartphone alles ganz normal ist (Android mit Opera-Browser).

    Kann es sein, dass die Webseite das Password als Hash überträgt und speichern will?

    Ich hatte sowas mal bei einem Router, da wurde das Passwort in der Seite noch per Javascript gehasht und dann erst übertragen. Deswegen war login:password@site nicht machbar, wie man es sonst auch kennt.

    Das ist möglich und würde vielleicht auch erklären, warum aus dem 12-stelligen PW eines mit 172 Stellen wird.
    Kann man das an den Zeichen erkennen? Es werden in diesem umgewandelten PW Zahlen, Groß- und Kleinbuchstaben, das Pluszeichen (+) und das Gleichheitszeichen (=) verwendet.

    Könnte man, wenn man wüsste, wie gehasht wird. Aber + und = gibt es IMO nicht in bekannten Hashmethoden
    Md5, Sha1, Sha256, Sha384, Sha512, Sha3-512, Crc32, Crc32b, Gost, Whirlpool, Ripemd160

    Das müsste dann was Eigenes sein, ebenso ist 172 ungewöhnlich. Genauer kann es dir nur der Seitenbetreiber sagen, vielleicht kannst du auch selbst mit dem (Firefox) Inspector oder der Netzwerkanalyse fündig werden. Bei mir konnte ich die Übertragung vom Hash sehen als POST-Parameter