Firefox Passwort(-Manager)

    Hab mal kurz ne "dumme" Frage:

    Nach einer Neuinstallation kann man ja seine gespeicherten PW vom PW-Manager wiederherstellen, indem man einfach die zwei Dateien key3.db und signons2.txt aus seinem alten Profil kopiert.
    Heißt das, dass falls irgendjemand Zugriff auf diese beiden Dateien bekommt, sei es über Trojaner oder USB-Stick oder was auch immer, dann kann er alle Passwörter im Klartext in seinem PW-Manager lesen (davor natürlich auch in sein Profil kopieren)?
    Hilft es, wenn man ein Master-PW hat, oder ist das nur dafür da, das lokal niemand ohne PW-Abfrage die PW im PW-Manager im Klartext lesen bzw. sich auf den Webseiten einloggen kann?
    Kann irgendjemand evtl. auch noch für einen Laien erklären, wie die PW-Verschlüsselung überhaupt bei FF funktioniert bzw. was in der key3.db überhaupt drin steht.

    Danke.

    also nen Teil kann ich glaube ich beantworten, aber nciht alles:

    Ja, wenn jemand auf diese Daten Zugriff hat, kann er sie in ein Firefox-Profil kopieren und anschauen. Die Dateien selbst (key3 und signons) sind nicht im klartext geschrieben wie du vllt schon gemerkt hast. Aber wenn man sie in das entsprechende Verzeichnis kopiert kann man sie im Firefox im Klartext anzeigen lassen (und so kann natürlich auch jeder, der das missbrauchen will vorgehen)

    Ein Master Passwort hilft meiner Information nach nur sehr bedingt, da es Tools gibt, mit denen man das zurück setzen kann ohne dabei die Passwörter zu löschen (ist eigentlich dafür gedacht, dass Leute, die ihr Master-PW vergessen haben nicht alles verlieren, aber wer garantiert einem , dass diese Funktion nicht missbraucht wird?)

    Firefox Firefox 3.6.x den festen und den zum Reisen,
    Win. 7 SP1

    Der IE ist wirklich sehr wichtig! Man benötigt ihn, um sich einen Browser zu besorgen!

    Zitat von Freak416

    also nen Teil kann ich glaube ich beantworten, aber nciht alles:

    Ja, wenn jemand auf diese Daten Zugriff hat, kann er sie in ein Firefox-Profil kopieren und anschauen. Die Dateien selbst (key3 und signons) sind nicht im klartext geschrieben wie du vllt schon gemerkt hast. Aber wenn man sie in das entsprechende Verzeichnis kopiert kann man sie im Firefox im Klartext anzeigen lassen (und so kann natürlich auch jeder, der das missbrauchen will vorgehen)

    Ok, d.h. doch dann aber, dass niemand den Manager nutzen sollte, der ein Interesse an der Sicherheit seiner PW hat, oder? Und ja ich habe gesehen, dass die PW in den Dateien verschlüsselt sind, aber was nutzt das dann überhaupt, wenn man sie nur in irgendeine Profil kopieren muss um sie anzuschauen? Klar es dauert bisschen länger als nur ein Doppelklick aber das ist ja nun fast egal.

    Zitat von Freak416


    Ein Master Passwort hilft meiner Information nach nur sehr bedingt, da es Tools gibt, mit denen man das zurück setzen kann ohne dabei die Passwörter zu löschen (ist eigentlich dafür gedacht, dass Leute, die ihr Master-PW vergessen haben nicht alles verlieren, aber wer garantiert einem , dass diese Funktion nicht missbraucht wird?)

    Aha, das habe ich nicht gewusst. Aber falls ich ein Master Passwort gesetzt habe und dann die beiden Dateien in ein Profil Kopiere, wird dieses PW im Firefox auch wieder abgefragt,oder? Das wäre ja zumindest schon einmal etwas mehr Sicherheit, obwohl wie du ja schon gesagt hast, dies auch zurückgesetzt werden kann. Das weiß aber evtl. nicht jeder bzw. kann nicht jeder Laie wohingegen das Kopieren und anschauen im Firefox wohl doch jeder kann.

    Gibt es irgendeine Möglichkeit den Firefox Passwort-Manager zu benutzen ohne dass das bloße Kopieren der 2 Dateien bedeutet, dass jeder die Passwörter im Klartext lesen kann?

    Zitat von Sepp181

    Gibt es irgendeine Möglichkeit den Firefox Passwort-Manager zu benutzen ohne dass das bloße Kopieren der 2 Dateien bedeutet, dass jeder die Passwörter im Klartext lesen kann?

    Durch das Benutzen eines Master-Passwortes erschwerst du das auslesen sehr stark. Es gibt zwar angeblich Tools, die das Passwort knacken können, aber die Arbeiten bestimmt auch nur mit Passwortlisten, Rainbow-Tables oder per Brute-Force. Verwendest du also ein ausreichend langes kompliziertes Passwort sollte das Problem nicht bestehen. Dann rate ich dir aber wirklich zu einem Passwort von 12-20 Zeichen Länge (das natürlich nicht aus einer einfachen aneinandereihung von Wörtern bestehen sollte).

    Zitat von JonHa

    ...Passwortlisten, Rainbow-Tables oder per Brute-Force.


    Was Passwortlisten bedeutet bzw. sind, das geht noch bei mir rein, aber was sind Rainbow-Tables bzw. was bedeutet "per Brute-Force"?

    Gruß, Günther

    Rainbow-Tables sind recht komplexe Tabellen mit denen man schnell z.B. hash-basierte Passwörter auslesen kann.
    http://de.wikipedia.org/wiki/Rainbow_Table

    Brute-Force bezeichnet einfach das simple durchprobieren aller möglichen Passwortkombinationen, was natürlich sehr viel länger dauert, als z.B. das durchprobieren von nur ein paar Passwörtern aus einer Liste oder das Knacken über Rainbow-Tables.
    http://de.wikipedia.org/wiki/Brute-Force-Methode