Passwortmanager - Sicherheit

  • FF 1.501

    Hallo !
    1
    der FF Passwortmanager ist hinsichtlich des Passwortschutzes ziemlich primitiv. Sobald nur EIN Passwort abgefragt wird, sind auch alle anderen Passwörter offen bis sämtliche Fenster von ff geschlossen sind. Ich hab laufend irgendwelche ff Fenster offen, wenn ich surfe. Für sicher halte ich das nicht.
    2
    Will ich die Eingabe des Masterpasswortes abbrechen, so lässt sich das entsprechende Fenster nicht mehr schliessen, der Button "Abbrechen" funktioniert nicht. Ich muss FF über den Taskmanager killen.
    Nachtrag: zur besseren Verständlichkeit wurde der Beitrag überarbeitet.

    2 Mal editiert, zuletzt von WolfgangJ (22. Februar 2006 um 13:03)

  • Fenster? Passwort? Hä?

    Meine Passwörter autovervollständigen sich, wenn ich beim feld Username den passenden Usernamen aus dem Dropdown-Menu wähle... da gibts keine Fenster... spielst Du mit dem Masterpasswort rum, oder was?

    Ausserdem ist Sicherheit relativ. Wenn ich irgendwen an meinen lokalen rechner lasse, kommt der auch an meine passwörter wenn er will....

    aber ersthaft... hab keine ahnung, was du genau meinst... geht das vielleicht etwas ausführlicher?

  • Wenn ich mich zum Beispiel hier im Forum nicht eingeloggt bin und eine Antwort erstellen will, fragt mich der FF-Kryptografiemodul nach dem Masterpasswort und gibt nach dessen Eingabe Username und Kennwort selbständig ein. Da gibts kein Dropdownmenü.
    Meine Vorstellung von einem Passwortmanger ist, dass er, nachdem er die Daten geliefert hat, sie anschließend wieder unter Verschluss nimmt.
    Du surfst anscheinend ohne Passwörtschutz.

  • Warum sollte ich? An meinen Rechner kommt ausser mir keiner ran. Warum soll ich dann dauernt Masterpasswörter eingeben? Zumal... wer interessiert sich schon für meinen Fx-Forums-Account? Nööö... also an paranoia oder übermässigem geltungsdrang leide ich nicht, als das ich meine passwörter für so wertvoll erachten würde. ; )

    Aber zum Masterpasswort kann ich nicht viel sagen. Allerdings ist der erst vor kurzem wieder für den Fx offen freigeschaltet worden. Der ist noch ein Rückbleibsel der Mozilla-Suite. Entsprechend einfach sind die einstellungmöglichkeiten der GUI. Und da es ein sehr selten genutztes features ist, ist es wohl auch nicht so hoch inder to-do-liste was erweiterungen angeht.

    Es gab aber in der Suite eine option, mit der man sagen kann, wann das Masterpasswort abgefragt werden soll. ich kenn den namen der variablen jetzt aber nicht, sonst könntest du das über about:config ändern. vielleicht sagen dir die anderen einstellungen (die garantiert noch gehen) eher zu?

    http://gunnars.net/mozilla/img/ps_master_password.gif

    [edit]Müssten die beiden einträge security.ask_for_password und security.password_lifetime sein


    Zitat

    security.ask_for_password
    Ask for certificate password (eg. for Mail). If option 2 is selected, length is set via security.password_lifetime.
    * 0 : Only the first time is needed
    * 1 : Every time it is needed
    * 2 : Ask after X minutes


    http://www.firefox-browser.de/wiki/About:config

    Standardwert von security.ask_for_password wird wohl 0 sein... setz ihn halt mal auf 1?
    [/edit]

  • Vielen Dank für die Info.
    PS. Wie wichtig eine Verschlüsselung ist, hängt davon ab, was durch das Passwort gesichert ist. Manche Internetverbindungen sind ja aus triftigen Gründen verschlüsselt, also ist dann auch das gesicherte Aufbewahren von Passwörtern ein Thema.

  • Das Masterpasswort verschlüsselt die Passwörter nicht zusätzlich. Es ist nur ein Tool um Leuten die an den lokalen Recher können, den Passwortmanager nicht zugänglich zu machen. Und wie ich bereits festgestellt hab: sowas gibts beim mir nicht. ; )

    Firefox baut jetzt nicht plötzlich eine sichere Verbindung zu einem ungesicherten Server auf nur weil du eine Masterpasswort gesetzt hast... weil das garnicht geht. Nur wenn der Server und der Client die selbe Sprache sprechen, kommt es überhaupt zu einer Verbindung.

    Der Sicherheitsgewinn ist wenn dann nur lokal auf deinem Rechner. Und selbst dann.... man kann das Masterpasswort leicht zurücksetzen und dann ist der schutz eh hin. Wenn jemand an deinen Rechner kann, kann der jedes Passwort rausbekommen. Er könnte sie sogar mit heim mehmen. USB-Stick in den Rechner, die passenden dateien aus dem Profilordner kopieren und dann an einem anderen rechner mit firefox ins profil legen. anschliessend liesses sich das masterpasswort wieder aufheben und ich glaub es gibts ne option, mit der man die passwörter wieder in plaintext darstellen lassen kann.

    Von mehr sicherheit, würde ich da generell nicht reden. Zumindest hoffe ich jetzt, dass du weisst wofür das masterpasswort vom firefox gedacht ist. ; )

  • Habt ja beide irgendwie Recht.

    M.W. wird das Masterpasswortbenötigt, um die Passwort-Datenbank des Passwort-Managers vor unauthorisiertem zugriff bei geöffnetem Fux zu schützen. Also: lässt DU andere Leute an Deinen Rechner, könnten sie eventuell mit den gespeicherten Zugangsdaten auf sensible Informationen zugreifen.

    Die abgelegten Zugangsinformationen sind verschlüsselt abgelegt und nicht einsehbar. Sollte also jemand ZUgriff von aussen auf Deinen Rechner bekommen, könnte er mit der Datei nichts anfangen...

    ______________
    carpe diem!
    /CT
    [allmost offline]
    WinXP SP2, Ubuntu 7.10, Fx, BBCodeXtra, Tab Mix Plus, All-in-One Gestures, Sage