passwortmanager - zu hohes risiko?

  • Zitat von DeckMan

    Du kannst einfach die entsprechenden Dateien aus deinem Profilordner kopieren und im anderen Profilordner einfügen.
    Mehr über den Profilordner im Wiki (Link)

    Für die Passwörter brauchst du die Dateien signons.txt und key3.db .

    wenn ich mir das so überlege, fällt mir auf dass das speichern von passworten ganz schön gefährlich ist. jeder entsprechend programmierte trojaner könnte die beiden dateien klauen...

    ist es nicht ein bisschen gewagt den passwortmanager standardmäßig zu aktivieren? selbst hinweise über das (nach meiner meinung doch recht hohe) risiko fehlen völlig. was meint ihr?

    und was haltet ihr davon dass firefox im gegensatz zu opera und ie dazu in der lage ist gespeicherte passworte auch anzuzeigen? opera zeigt nur den server und den usernamen an, der ie nicht mal das.

  • selbst wenn diese beiden Dateien "geklaut" werden sollten, kann der neue "Besitzer" auch noch nichts damit anfangen, da die kennwörter über das Master-PW verschlüsselt sind.

    Die Freigabe im PW-Manager durch Eingabe des Master-PW entschlüsselt ja nicht die Dateien auf Festplatte, sondern die Decodierung erfolgt im RAM.

    Ein Trojaner müsste also auch noch die Möglichkeit besitzen, Firefox zu veranlassen, die Kennwörter abzurufen und zu decodieren, denke mal, das ist sehr sehr unwahrscheinlich.

    Anders ist es natürlich, wenn man einen Keylogger einschleusst, der das Master-PW mitprotokolliert. Sollte es dann noch gelingen, die PW-Dateien zu stehlen, wäre ein Diebstahl möglich.

    Auch sehr unwahrscheinlich, aber technisch durchaus machbar.

    Generell aber denke ich schon ist der Einsatz des PW-Managers mit einer hohen Wahrscheinlichkeit als sicher einzustufen (100%ige Sicherheit gibt es ja bekanntlich nicht...).

    Meine aktuell benutzte Konfiguration !
    Nicht der Wind bestimmt die Richtung, sondern das Segel ! (Lao Xiang, China)
    Wandel und Wechsel liebt, wer lebt ! (Richard Wagner, Bayreuth)
    Seit wann sind wir dem Wähler - und nicht nur Gott - Rechenschaft schuldig ?! (CSU, München)

  • Die Passwörter anzuzeigen empfinde ich als kein höheres Risiko. In jedem anderen Browser geht das auch mit Bookmarklets (wenn man weiß wie).

    (Im Übrigen konnte der Firefox meines Cousins auch Passwörter aus dem IE importieren, bei denen er dem IE gesagt hat, dieser solle sie nicht speichern. Wozu noch Keylogger, wenn die Passwörter alle schon in der Registry zum Abholen bereit in der Registry stehen?)

  • Bei jedem Passwort wird doch sowieso nachgefragt, ob das Passwort gespeichert werden soll. Wer das nicht will, klickt einfach auf nicht speichern.

    Gespeicherte Passwörter kann man immer auslesen. Mit jedem Browser. Sonst würde auch der Browser sie nicht mehr auslesen können. ;)

    Man kann natürlich ein Masterpasswort verwenden. Dann kann sie der Browser und auch der Datendieb sie eben nur mit dem Passwort entschlüsseln.

    Das man die gespeicherten Passwörter im Optionen-Fenster anzeigen kann, finde ich dagegen etwas gewagt. Mit der Option hab ich schon so manche Passwörter von Bekannten ausspioniert. (Natürlich mit deren Einverständnis... ) :lol:

  • Hallo zusammen,

    ich bin ganz erstaunt darüber, dass Passworte mit dem Masterpasswort in Firefox verschlüsselt werden. Ist das wirklich so? In Thunderbird gibt dazu eine extra Funktion, die man anwählen kann. Bei Firefox fehlt das.

    Grüße deri

  • Hi JonHa,

    ich habs ja gesetzt. Ich sehe nur, dass ich mich zu Beginn einer Browsersitzung anmelden kann, damit ich die Seiten mit Passworteingabe mit meinen Kennungen (nicht Master) öffnen kann. Alles andere bleibt mir verborgen. Wer Zugang zu den Verzeichnissen eines Rechners hat, der kann die Dateien key3.db und signon.txt kopieren.

    Ob das mit einem anderen Rechner dann geht, weiß ich nicht. Wie gesaagt, die Option bei Thunderbird macht mich stutzig. Aber da wird es hier bestimmt einen Experten geben, der das genau kennt.

    Grüße deri

  • Wenn ich mir das so überlege, denke ich aber, dass cube nicht ganz unrecht hat. Egal ob da was mit Masterpasswort geschützt werden kann oder nicht.
    Zugangsdaten, TANs etc. haben auf dem Computer nichts verloren.
    Frei nach Murphy... Wenn etwas schief gehen kann, wird es schief gehen...
    Zumindest für Passwörter hat man ja schließlich ein Gehirn. ;)

  • Was man speichert kann man sich besorgen als Hacker. Das ist bei allen Passwörtern die man speichert so. Wieso also die aufregung? Außerdem muss der Passwort-Gauner auch erstmal soweit kommen. Wer das nicht verhindert(oder versucht) hats soweiso net anders verdient.

    Mozilla/5.0 (X11; U; Linux x86_64; de-DE; rv:1.9.1.1) Gecko/20090702 Firefox/3.5

  • Zwei Dinge dazu:
    1) Wenn die Webseiten gescheit designed sind, wird man nicht zum sichern der Passwörter aufgefordert. Sollte der Ersteller der Seite denken, das das so sicherheitskritisch ist, dass man da nichts speichern soll, macht der ein >>autocomplete="off"<< in den Quellcode und dann wird nichts gespeichert, außer man umgeht das ganze per Bookmarklet/Javascript
    2) Naja. Das "gespeicherte Passwörter anzeigen" ist meiner Meinung nicht wirklich sicherheitskritisch. Wen ich an meinen PC lasse, dem vertrau ich auch. (Deswegen brauch ich auch kein DRM :) ) und selbst da hilf das Masterpasswort wieder. Keine Anzeige der Passwörter ohne Masterpasswort.

    Signaturen sind doof.

  • Wer ist denn so bescheuert und will Imperators Passwörter klauen :roll: Der muss doch irgendwo im Heim sitzen, bergauf zu Schule gehabt haben, von eigenen Schwester gestillt worden und schwer auf Pille sein! Wenn die Pflegefälle nichts anderes zu tun haben, als die heilige Todessternleitung anzuzapfen, die sollen sich bei meiner "Spezial-Seelsorge" melden. Die Nummer ist kostenlos und wir kümmern uns garantiert um die :wink:

  • Zitat von loshombre

    Wer ist denn so bescheuert und will Imperators Passwörter klauen Rolling Eyes


    @ loshombre: FireMaster - The firefox master password cracker

    Hilfe mein PW Manager hat ein MPW und ich hab es nicht
    http://www.firefox-browser.de/forum/viewtopi…p=266406#266406

    Gruß,
    gammaburst

  • Der eine sagt "wer an meinen Rechner darf, dem vertrau ich", der nächste meint "Passwörter sichern ist unsicher, egal ob bei firefox oder anderen Browsern" und der dritte spielt es mit "Die gespeicherten Passwörter können überall ausgelesen werden, man muß nur wissen wie" herunter.

    Trotzdem ist und bleib die Funktion, über 3 Klicks erreichbar, meiner Ansicht nach äusserst 'fahrlässig' designed.
    Der unbedarfte, 08/15 User, welcher nur Surfen und nicht fummeln will, und das - was hinter dem Steckt was er benutzt, nicht interssiert, der Installiert Firefox und fühlt sich auf der sicheren Seite; ist Firefox doch ein so hochgelobter, sicherer Browser. Alles töfte alles gut. *Sich selbst auf die Schulter kopfend*

    Klar kommt man überall ran; Keylooger, Hacks die das Admin Passwort auslesen oder zumindest ändern, std. Biospasswörter, Trojaner etc. pp., doch erfordert das hier immer ein gemisses Maß an 'kriminieller Energie', Zeit und auch ein bischen Wissen / Erfahrung. Hier wie geschrieben bedarf es nur 3 klicks, und jeder depp kann ohne große Umwege von Papa, Mama, Schwester, Arbeitskollege an die Passwörter im KLARTEXT gelangen. Das es überhaupt eine solche Funktion gibt - ob mit einem extra Passwort geschützt oder nicht - find ich schon erschreckend.

    Und da ändern auch keine Phrasen like "pech gehabt", "selbs schuld" oder "hätte sich informieren müssen" nichts. Das bringts einfach nicht. Es liegt doch in unser aller Interesse das die Leute sich keine Türen und Tore aufstellen, das sie uns im LAN mit dreck Bombadieren, das sie uns mit ihrem Verseuchten System mit Spam zudecken oder sonstwie gefährden.

    Meiner Ansicht nach ist hier der Entwickler gefordert; das Speichern von Passwörter als std. deaktivieren, oder ein auslesen der Passwörter generell gar nicht erst möglich machen.
    Ob mit oder ohne Passwort, das ist eine Funktion, die mehr schadet als hilft.

  • mir auch schon ein paar mal. aber in dieser hinsicht finde ich das verhalten von opera und ie besser, es ist einfach zu gefährlich die passwörter anzeigen zu können.

  • Ausser fürs Online-Banking speichere, wenn möglich alle meine Passwörter in Firefox.
    Ich kann mir nämlich nicht hunderte von Passwörtern wie "wGcb§DE$§Dsdf" merken. :lol:

    Was ich beim Firefox als "Sicherheitsproblem" ansehe ist, das das Masterpasswort nicht 'abläuft' bis der FF geschlossen wird.

    Hier sollte auf jedenfall nachgebessert werden !

    "Jedesmal nach Masterpasswort fragen"
    "Masterpasswort nach xx sekunden neu eingeben"

    Wenn du denkst, dass du denkst, dann denkst du nur, dass du denkst.