Passwort-Manager von Firefox erleichtert Phishern die Arbeit

  • Zitat von dabbelju

    Hier noch eine weiterer Hinweis von der Sicherheitsseite T-Online:

    Zitat


    Firefox verrät Passwörter

    Die Mozilla Foundation warnt vor dem Passwort-Manager in ihrem Browser Firefox 2.0. Die Funktion hat die unangenehme Eigenschaft, unter bestimmten Voraussetzungen abgespeicherte Nutzernamen und Passwörter an andere Anwender zu verraten. Die Firefox-Entwickler empfehlen, den Passwort-Manager vorerst nicht mehr zu verwenden, bis ein entsprechendes Update verfügbar ist.

    Automatisierung birgt Tücken
    Mit Hilfe des Passwort-Managers ist es Firefox-Nutzern möglich, sämtliche Nutzernamen und Passwörter für Webseiten oder Online-Bezahlverfahren an einer zentralen Stelle des Browsers abzulegen. Trifft Firefox auf entsprechende Formularfelder auf einer Webseite, die zu denen im Passwort-Manager verzeichneten gehören, füllt der Browser die Eingabefelder automatisch aus. Soweit, so praktisch – und doch gefährlich.


    Es folgen noch weitere Hinweise von T-Online, dann wird noch anschließend auf den T-Online-Browser hingewiesen.

    Gruß
    D. Büssen

    Gruß,
    D. Büssen

    Firefox 132.0.1 + Nightly 134 (WIN 10 - 64 bit)

  • Wenn ich nicht merke, dass ich auf einer Phishing-Site gelandet bin und ich will mich einloggen, ist es doch vollkommen egal, ob der Passwort-Manager die Eingaben automatisch einträgt, oder ob ich es manuell mache.

  • Zitat von Timo57

    Wenn ich nicht merke, dass ich auf einer Phishing-Site gelandet bin und ich will mich einloggen, ist es doch vollkommen egal, ob der Passwort-Manager die Eingaben automatisch einträgt, oder ob ich es manuell mache.


    Nö.
    Es geht ja nicht um Eingabefelder, die du siehst. Es geht um verborgene, die aber bspw. dieselbe Eingabe fordern wie das eigentliche Feld. Das könnte auch so weit führen, dass du auf eine Seite gelangst, wo du dich normalerweise anmeldest und damit auch das Passwort gespeichert hast, aber kein Eingabefeld zu sehen ist (wenn du z.B. schon angemeldet bist). Dein Passwort und Benutzername werden in ein verstecktes Feld automatisch eingetragen. Wenn du dann nem Link "Klick mich!" folgst, kann es sein, dass der Phisher sich über neue Nutzerdaten freut ;)

    Wobei ich nicht sicher weiß, ob man überhaupt den "Klick mich!"-Link braucht.

    Quis custodit custodes?

  • Zitat von Büssen


    Hier noch eine weiterer Hinweis von der Sicherheitsseite T-Online:

    Wer sensible Passwörter auf seinem Rechner speichert, ist selbst dran Schuld, wenn sie 'geklaut' werden.

    Ich will die Meldung nicht herunterspielen, sondern darauf hinweisen, dass sensible Passwörter, Pins und Tans usw. nie auf dem Rechner gespeichert werden sollen, egal welchen Browser man benutzt.

  • Zitat von Road-Runner


    Wer sensible Passwörter auf seinem Rechner speichert, ist selbst dran Schuld, wenn sie 'geklaut' werden.

    Ich will die Meldung nicht herunterspielen, sondern darauf hinweisen, dass sensible Passwörter, Pins und Tans usw. nie auf dem Rechner gespeichert werden sollen, egal welchen Browser man benutzt.


    Wieso, soll ich lieber auf die Keylogger warten, um mir die Passwörter stehlen zu lassen? ;)

    Abseits aller Polemik meine ich aber doch, dass Passwörter zu speichern und mithilfe eines Masterpassworts zu sichern, nicht ein dermaßen großes Sicherheitsloch ist. Wieso sollte es denn? (Jetzt mal abgesehen von dem aktuellen Problem, das ist ein error by design des Passwortmanagers von Firefox)

    Quis custodit custodes?

  • OK, ein Keylogger kann auch Passwörter ausspionieren, das steht ausser Frage.

    Wenn man sein BS immer aktuell hält, den Rechner regelmässig auf Malware überprüft (Aktualisieriung der AV- und sonstigen Programme nicht vergessen) und nicht auf alles klickt, was bei Drei nicht auf den Bäumen ist, dürfte dieses Risiko eher minim sein.

    Trotzdem speichere ich keine sensiblen Passwörter (Bank usw.) auf dem Rechner, auch nicht, wenn ich sie mit einem Masterpasswort schützen kann.

    Ich denke nicht, dass Phisher übermässig an meinen Passwörtern zu den verschiedenen Foren interessiert sind, und etwas anderes werden sie nicht finden.

    Und damit niemand sich falsche Hoffnungen macht: meine Bankzugangsdaten sind auch nicht auf einem Zettel am Monitor oder unter dem Telefon festgehalten :wink:

  • Hi Folks,

    ich weise in diesem Zusammenhang immer wieder genre auf den besten Schutz hin, den es gibt, nämlich "brain.exe".

    Einen Passwortmanager gleich welchen Programms benutze ich aus Gründen der Bequemlichkeit lediglich für die kaum sicherheitsrelevanten Dinge im Netzt - Loggins in Foren, etc. bla bla - . Wenn nun jemand mit diesen Daten sein Unwsen treiben wil - so what, you cares? Die aber wirklich relevanten Daten - Onlinebanking, etc., ... - würde ich ums Verrecken niemals irgendeinem "Manager" anvertrauen.

    Was also bleibt? Setze deinen Verstand ein! Verlass dich nicht auf Maschinen, sondern lieber auf dich selbst. Das aber setzt Verantwortungsbewusstsein voraus!

    Have fun,
    NightHawk

  • Zitat von NightHawk56

    Was also bleibt? Setze deinen Verstand ein! Verlass dich nicht auf Maschinen, sondern lieber auf dich selbst. Das aber setzt Verantwortungsbewusstsein voraus!

    Genau, aber wir wissen doch alle, dass niemand perfekt ist und wohl einige Leute drauf reinfallen können; also gut, wenn das mit dem nächsten Update behoben ist.

    (Wobei ich den raschen Bugfix eher aus Marketinggründen wünsche als aus meinem persönlichen Sicherheitsbedürfnis.)

  • Zitat von Lendo

    (Wobei ich den raschen Bugfix eher aus Marketinggründen wünsche als aus meinem persönlichen Sicherheitsbedürfnis.)

    Zunächst einmal: "Ja, einverstanden." Allerdings ist ein Marketingkonzept eher geeignet, ein Produkt "gut zu verkaufen", als den wirklichen Bedürfnissen der Konsumenten gerecht zu werden. Deswegen ist es (ein solcher Bugfix) in _meinem_ Verständnis von Sicherheit eher kontraproduktiv, obschon ich mit diesen Schritt dennoch wünsche, damit ein eher Standard orientierter Browser noch mehr Chancen auf wachsende Verbreitung hat, damit dieser IE-only-Murks aus dem Code unzähliger Websites endlich verbannt wird :wink:

    Have fun,
    NightHawk

  • Zitat von @Feuerfuchs

    Hallo,

    gibt es eine Möglichkeit, die Passwörter zu kopieren um sie dann als Text ausdrucken zu lassen, oder einen anderen Trick, bevor ich sie lösche.


    MfG

    Mache ein Screen-Shot (erforderlichenfalls mit Paint o. ä. montieren) und lege das ab. Diese Liste ist nicht leicht auslesbar.

    Dieter