Passwörter im Klartext

  • Habe mit Schreck gestgestellt, dass wenn man in Firefox Passwörter abspeichern lässt, diese als Default im Klartext lesbar sind. (Einstellungen, Datenschutz, gespeicherte Passwörter anzeigen). :shock:

    Erst wenn man ein Masterpasswort setzt ist der Zugang nicht mehr so direkt bewerkstelligbar...

    Besonders in Unternehmen mit Firefox im Einsatz kann man so bei einer kurzzeitig unbewachten Station aufs Einfachste an vertrauliche Informationen kommen. Frage mich, ob es auch möglich wäre mit einem schönen Script auf einer Webseite an die Passwörter heranzukommen...?!

    Schon klar, ein System ist nur so sicher wie sein schwächstesTeil, und das ist in der Regel der User. Ich betrachte es aber als äusserst ungeschickt, dass Firefox zur Verwaltung der Passwörter nicht z.B. Kdewallet (Linux) oder ein anderes offizielles Passwortverwaltungstool verwendet oder beim Abspeichern der Passwörter den Benutzer nicht zwingt ein Masterpasswort anzulegen.

    s.a. http://www.linux-club.de/viewtopic.php?t=55806&highlight=

  • Ich glaube nicht, dass es einer Webseite möglich ist, Passwörter auszulesen!
    Allerdings werden die Passwörter nur verschlüsselt abgespeichert!
    Wenn du wirklich sicher sein willst, dass niemand an Passwörter rankommt hilft nur das deaktivieren der Speicherung im Fuchs!

  • Zitat von flyingfischer

    Frage mich, ob es auch möglich wäre mit einem schönen Script auf einer Webseite an die Passwörter heranzukommen...?!

    Wie bei jedem Browser mit auch nur rudimentärer JavaScript-Unterstützung geht das auch bei Firefox.

    edit: schon wieder so eine ungenaue Formulierung meinerseits :oops: Die Seite kommt natürlich nur an die Passwörter ran, die (automatisch oder vom User) eingetragen wurden.

  • Zitat von flyingfischer

    Besonders in Unternehmen mit Firefox im Einsatz kann man so bei einer kurzzeitig unbewachten Station aufs Einfachste an vertrauliche Informationen kommen.

    Man kann einen DAU nicht vor jedem Risiko schützen. Wer so dämlich ist, seinen Rechner offen rumstehen zu lassen, muss mit sowas halt rechnen.

  • Zitat

    Wie bei jedem Browser mit auch nur rudimentärer JavaScript-Unterstützung geht das auch bei Firefox.

    Würde sagen, das ist Grund genug, dass die Entwickler von Firefox diese offene Default-Einstellung überdenken sollten. DAU hin oder her. Frei nach dem Motto macht hoch die Tür... :wink:

  • Zitat

    und dann beschweren sich die DAUs, dass mit dem Browser die Hälfte der Webseiten nicht funktionieren und der IE das so toll kann...

    Das scheint es mir auf den Punkt zu bringen. Ich komme wie Hoshpak aus der Linuxwelt und bin eine dezidierte Rechtevergabe gewohnt. Derat offene Grundeinstellungen zu verwenden scheint mir aus der "Logik" von Windows zu kommen, in der die Mehrzahl der User auf einer Admin-Oberfläche arbeiten. Dennoch finde ich eine solche Voreinstellung, unabhängig vom eingesetzten Betreibssystem, unverantwortlich.

    Die Lösung mit dem Master-Passwort, das man einmal pro Sitzung eingibt, scheint mir ebenfalls nicht sehr tauglich zu sein. Der so geöffnete Passwort-Zugang kann jederzeit wieder per Script oder händisch ausgelesen werden...

    Sinnvoller wäre es das Master-Passwort nur abzufragen, wenn jemand versucht die Passwörter im Klartext einzusehen. So wäre auch der DAU nicht überfordert...

  • Aber so gut wie jede webseite verlangt doch das das Passwort als Klartext übermittelt wird. D.h. Firefox muss die Passwörter so abspeichern das er irgendwie wieder an den Klartext kommt.

    Viele Programme die vor dem Problem stehen (besonders in der Windowswelt weit verbreitet) speichern die Passwörter dann in irgend einem Binärformat ab, so das der Benutzer nicht sieht das da sein Passwort steht. Und für so ziemlich alle solche Programme gibt's tools diese Dateien wieder auszulesen. Das ist also keinen deut sicherer als die Passwörter direkt im Klartext abzuspeichern, nur unehrlicher.

    Die andere alternative ist es die Passwörter verschlüsselt abzuspeichern und vom Benutzer den Schlüssel abzufragen der alle Passwörter zugänglich macht. Dann muss der User zwar wieder ein Passwort eingeben, aber nurnoch eines für alle Seiten. Und kann trotzdem auf allen seiten unterschiedliche Passwörter haben.
    Genau das macht Firefox doch mit dem Masterpasswort.

    KdeWallet oder irgendeinen anderen wallet-dienst zu verwenden (z.B. gnome-keyring, oder Winzigweich hat auch sowas wenn ich mich richtig erinnere) hat den Vorteil das man ein Masterpasswort hat das anwendungsübergreifend ist.

    All diese Masterpasswort-Ansätze haben aber eines gemeinsam: Entweder man riskiert es das Wallet länger geöffnet zu lassen und muss dann das Passwort nur einmal pro Session eintragen, oder man stellt es so ein das es sofort nach Benutzung wieder geschlossen wird, dann muss man aber das Passwort andauernd eingeben. Beim kde-wallet kann man das einstellen, FireFox lässt es glaub ich offen wenn es einmal gebraucht wurde bis der FF wieder geschlossen wird.

  • flyingfischer schrieb:

    Zitat

    Das scheint es mir auf den Punkt zu bringen. Ich komme wie Hoshpak aus der Linuxwelt und bin eine dezidierte Rechtevergabe gewohnt. Derat offene Grundeinstellungen zu verwenden scheint mir aus der "Logik" von Windows zu kommen, in der die Mehrzahl der User auf einer Admin-Oberfläche arbeiten. Dennoch finde ich eine solche Voreinstellung, unabhängig vom eingesetzten Betreibssystem, unverantwortlich.


    Es gibt externe Lösungen aus dem UNIX-Bereich - wie bereits oben genannt und ausserhalb der Unzulänglichkeiten des bisherigen "KDE Wallet Managers".

    Portierung auf Windows vielleicht mit einer GnuPG-Verschlüsselung? :)

    http://passwordmanager.sourceforge.net/download.php


    Oliver

  • Hallo

    Mich hat immer wieder gestört, dass man sich die Passwörter im FF im Klartext anzeigen lassen kann.

    Ich persönlich speichere nur Passwörter, für Forren o.ä. Es ist also kein Beinbruch, wenn man es knackt. Und da ich meinen Rechner nie unbeaufsichtigt (für längere Zeit) lasse würde ich die Passwörter auch ohne Master-Passwort speichern. (So wie früher im IE)

    Was mich allerdings arg gestört hat, war dass man sich die Passwörter über die Einstellungen im Klartext anzeigen lassen kann. Das darf eigentlich nicht sein. Naja... so musste ich halt nen Masterpasswort verwenden. Und das jedes mal neu eingeben...aber wenn es einmal eingegeben war, konnte man sich die Passwörter immer ansehen... auch ohne weitere Eingabe des Master-PW!

    Hat jemand von euch eine Idee, wie ich das umgehen kann?
    Also: Passwörter speichern und in Formularfelder ohne Master-PW...aber anzeigen Nie oder nur über Master-PW?)

    Danke!

  • Man könnte die userChrome.css dazu nutzen die Schaltfläche "Passwörter anzeigen" auszublenden, so das sie keiner benutzen kann:
    http://www.firefox-browser.de/wiki/UserChrome.css

    Code
    #togglePasswords{display:none;}


    (Müsste mit der Zeile gehen, habs aber nicht getestet)

    Man könnte jetzt immer noch die Passwörter sich wieder anzeigen lassen, indem der "Angreifer" die userChrome.css bearbeitet, aber diesen Trick drüften nur die wenigsten kennen.

  • Hat geklappt! Super! Danke!

    Ich hatte zuvor schon in der about:config den Schlüssel mit der Passwortabfrage auf 1 gesetzt...so wurde noch mal explizit vor dem anzeigen der PW davor gefragt...

    kann man denn auch die Passwortabfrage so einstellen, dass nur zum anzeigen das Masterpasswort benötigt wird?