Sicherste Passwortlösung?

  • Guten Tag.

    Ich suche nach einer komfortabelen, aber auch sicheren Lösung meine Passwörter für Websites zu verwalten.

    Mir sind bislang einmal die Masterpasswortmethode von FF selber bekannt und einmal das Addon PwdHash. Gibt es noch weitere?

    Welches ist eurer Meinung nach die beste Lösung?

  • Hi,

    Zitat von unix_samurai

    ... Gibt es noch weitere?

    ...

    schau mal hier. http://www.roboform.com/de/

    Ich bin in allem nicht gut aber auch nicht schlecht. (Gruß Norbert)
    ASUS Notebook - Intel® Core™ i5 (3,60 GHz) - 8 GB RAM - 512 GB SSD - Intel® UHD Graphics - Windows 11 23H2 Home 64-Bit - Firefox 133.0 - Thunderbird 133.0 - uBlock Origin

  • Ich verwende exakt 2 Passwörer.

    Zum einen ein sehr gutes Passwort als MasterPasswort im Firefox selber - in Kombination mit SecureLogin.

    Zusätzlich ein zweites sehr gutes Passwort für den verschlüsselten Bereich auf der Festplatte (gesonderte Partition mit Truecrypt, die erst eingebunden werden muss), in dem ich alle Passwörter in einer .txt Datei gespeichert habe, falls ich das Passwort im Firefox vergessen sollte.

    Somit ist der Login stets sehr komfortabel und ich muss mir nur 2 Passwörter merken. Die Passwörter für dieses Forum oder andere (ebay, Amazon...) kann ich daher sehr lang und kompliziert generieren.

    Ich halte meine Passwortverwaltung für sehr gelungen und fahre so eigtl. sehr gut. Die Erweiterung SecureLogin ist in meinen Augen eine wertvolle Ergänzung !

    Grüße

  • Anmerkung:
    PwdHash bietet gegenüber der Nutzung eines Masterpasswortes keinen wirklichen Vorteil was die Sicherheit betrifft. Es ist aber wohl ein etwas bequemerer Weg komplexe Passworte für Webseiten zu erstellen.

  • Bislang habe ich auch einen kryptischen Bereich genutzt, mit den Passwörtern. Allerdings ohne ein Master Pw, sondern habe es immer umständlich reinkopiert. Denn erstens weiß ein Angreifer bei dem Master Pw genau wo es liegt und zweitens weiß ich noch nichts über die Verschlüsselungsmethode. Gilt denn die Master Pw Methode als unsicher oder ist es im Prinzip egal ob nun im FF verschlüsselt oder wo anders? Zugegeben ist es wohl imemrnoch am allersichersten die Pws auf einem externen Datenträger zu speichern und nur einzubinden, wenn man die Pws braucht. Aber irgendwo sollte man auch an Komfort denken.

  • Zitat

    Denn erstens weiß ein Angreifer bei dem Master Pw genau wo es liegt

    Und? Es wird gehasht gespeichert. Solange du ein ausreichend robustes Passwort verwendest, wird ein Angreifer selbst mit Kenntniss über den Hashwert scheitern. Solange das Passwort gut genug ist helfen auch keine Rainbowtables oder vorberechnete Passwortlisten.

    Zitat

    Gilt denn die Master Pw Methode als unsicher

    Abgesehen von Sicherheitslücken im Browser oder Malware ist das Masterpasswort-Verfahren so sicher wie jeder vernünftige Passwortsafe auch.

    Zitat

    Zugegeben ist es wohl imemrnoch am allersichersten die Pws auf einem externen Datenträger zu speichern

    Das sicherste ist es Passwörter gar nicht zu speichern *g* Aber ich halte von solchen puristischen Ansätzen wenig. In Anbetracht der Vielzahl von Passwörtern die bspw. ich selbst benötige, müsste ich entweder ein halbes Genie sein oder eben auf komfortable Tools wie Passwortsafes oder ein Masterpasswort zurückgreifen.

  • Zitat von boardraider

    Jetzt nicht mehr *eg*

    Stimmt, aber er ist des Schreibens leidlich mächtig und kann nach dem Schema neue generieren. Oder Google mit Passwortgenerator füttern. Es soll für Faule auch Maschinen geben, die sichere Passwörter generieren.

  • Zitat von NFH

    schau mal hier. http://www.roboform.com/de/


    Bei mir schon seit Jahren im Einsatz, allerdings die Pro-Version.... :wink: . Wer nicht mehr als 10 Passworte braucht, kann auch mit der FREE-Version zufrieden sein...

    Verschlüsselungsmethoden vielfältig:

    [Blockierte Grafik: http://img3.imagebanana.com/img/njijdcbc/thumb/roboform.png]

    EDIT:
    Dazu gibt es noch eine Fuchs-Erweiterung Roboform Toolbar for Firefox. Was will man mehr.... :D

  • Du könntest dir mal Keepass anschauen. Da gibt's afaik auch nette Firefox-Plugins.
    Das nehme ich zur Lagerung meiner wichtigen PWs. Die unwichtigeren hab ich in Fx gespeichert und mit SecureLogin hab ich den Komfort, den ich mir wünsche...

  • unix_samurai wrote:

    Zitat

    Kai Raven empfiehlt, dass man lieber einen externen Passwortmanager nutzen sollte, statt welche, die sich nur auf den interne FF PW Manager fixieren. Das erscheint mir selber auch logisch.

    Und was daran erscheint dir logisch? Du bist an der Stelle ungefähr genauso auskunftsfreudig wie der Referenzierte.

    Zitat

    Quelle: http://hp.kairaven.de/bigb/asurf7.html#a6 Strg + F + Master Password Timeout eingeben


    Warum nicht so? http://hp.kairaven.de/bigb/asurf7.html#a19a

  • Also Keepass hab ich auch schon probiert, kam damit im Gegensatz zu Roboform aber eher weniger gut klar. Zwar hat das konvertieren der signons.sqlite geklappt nachdem ich aus einem alten gebackupten Fx 3.0 Profil noch eine signons2.txt gezaubert hatte, aber mit dem Ausfüllen von Formfeldern war ich ziemlich unzufrieden. Es kam öfter vor dass falsche Felder ausgefüllt wurden oder sich plötzlich ganz andere Seiten öffneten. Probleme die mit Roboform nie auftraten.

    Kann mir jemand erklären ob und wie man es hinkriegt dass Keepass zuverlässig per Hotkey o.ä. Felder ausfüllt? Das einzige Plugin dass dahingehend vielversprechend klingt ist leider nur für den IE.#


    Kann man eigentlich einstellen dass das Masterpasswort vom Fx nur abgefragt wird wenn man sich wo aktiv einloggen will, und nicht schon wenn nur Accountdaten für eine Seite verfügbar sind die man ansurft?

  • Wenn man ein brauchbares Masterpasswort verwendet ist der von Firefox verwendete Algorithmus im Durchschnitt nicht in annehmbarer Zeit zu knacken, mehr können andere Programme auch nicht bieten.

    Mozilla/5.0 (X11; U; Linux x86_64; de-DE; rv:1.9.1.1) Gecko/20090702 Firefox/3.5

  • >Kann man eigentlich einstellen dass das Masterpasswort vom Fx nur abgefragt wird
    >wenn man sich wo aktiv einloggen will, und nicht schon wenn nur Accountdaten für eine
    >Seite verfügbar sind die man ansurft?

    Schau mal den Link an, den ich zu letzt gepostet habe. Dort gibt es ein Plug in, das nennt sich Master Wort Time out oder so ähnlich und führt dazu, dass man man nach einer vordefinierten Anzahlvon Sekunden seni MPW wieder neu eingeben muss.
    Außerdem gibt es da noch irgendwo ein Plugin auf der Site, bei dem man sich immer nur aktiv einloggen kann, nicht automatisch. D.h. man muss vor jedem Login eine manuelle Bestätigung tätigen.
    Ich hoffe, das hilft. Andernfalls findest Du vielleicht auf der Site noch andere Plugins, die ich übersehen habe oder Du durchsuchst einfach mal die Datenbank von Mozilla. Dort kann man einstellen, dass man sich nur alle Security relevanten Plugins anzeigen lassen soll.

    Warum ich ein externes Plugin zum verwalten des Passworts nutzen würde liegt daran, weil die interne Funktion erstens am häufigsten verbreitet ist, dadurch vermute ich, dass sich auch die meisten Attacken dagegen wenden, zweitens kann ein Angreifer sich bei einem externen Programm den Pfad schlechter erschließen, indem das Pw gespeichert ist und drittens hat FF ja Zugriffsrechte auf das PW File, d.h. wenn man den Browser komrpomitiert hat, dann hat man vielleicht Zugriff auf das File. Während FF auf ein externes Element sicherlich nicht zugreifen könnte, weil die sich selber steuern, schätze ich.
    Sind aber auch nur Vermutungen, die aber trotzdem plausibel erscheinen. Ich werde darüber aber noch weiter recherhieren und kann die Ergebnisse gerne hier posten.

  • unix_samurai wrote:

    Zitat

    >Kann man eigentlich einstellen dass das Masterpasswort vom Fx nur abgefragt wird
    >wenn man sich wo aktiv einloggen will, und nicht schon wenn nur Accountdaten für eine
    >Seite verfügbar sind die man ansurft?

    Schau mal den Link an, den ich zu letzt gepostet habe. Dort gibt es ein Plug in, das nennt sich Master Wort Time out oder so ähnlich und führt dazu, dass man man nach einer vordefinierten Anzahlvon Sekunden seni MPW wieder neu eingeben muss.
    Außerdem gibt es da noch irgendwo ein Plugin auf der Site, bei dem man sich immer nur aktiv einloggen kann, nicht automatisch. D.h. man muss vor jedem Login eine manuelle Bestätigung tätigen.

    Mit letzterem meinst du vielleicht Secure Login. Allerdings handelt es sich bei dem geschilderten Phänomen um einen Bug, der auch schon in Bugzilla eingetragen ist. Bspw. dort:
    https://bugzilla.mozilla.org/show_bug.cgi?id=400680
    Mir ist keine Erweiterung bekannt, die diesen Bug patcht.

    Zitat

    Warum ich ein externes Plugin zum verwalten des Passworts nutzen würde liegt daran, weil die interne Funktion erstens am häufigsten verbreitet ist, dadurch vermute ich, dass sich auch die meisten Attacken dagegen wenden

    Sind dir aktuelle Angriffsmöglichkeiten bekannt? Prinzipiell bieten dir solche Konstrukte nur bei einem unspezifischen Angriff einen gewissen "Schutz".

    Zitat

    zweitens kann ein Angreifer sich bei einem externen Programm den Pfad schlechter erschließen, indem das Pw gespeichert ist

    Was nicht ausschließt, dass er das trotzdem kann, wenn er in der Lage ist in deinem System auf das Dateisystem lesend zuzugreifen.

    Zitat

    und drittens hat FF ja Zugriffsrechte auf das PW File, d.h. wenn man den Browser komrpomitiert hat, dann hat man vielleicht Zugriff auf das File.

    Was verstehst du dabei unter "Zugriff auf das File"? Grundsätzlich könnte bspw. bösartiger Chrome-Code auf die Daten zugreifen, ebenso könnte der Code dann auch in deinem Dateisystem nach anderen Passwortspeichern suchen. Die gefundenen Daten könnte der Code auch zum Angreifer schicken, der mit Passwortcrackern offline die Dateien beackert. Solltest du dich mit deinem Masterpasswort authentifiziert haben, wäre der Code auch in der Lage direkt auf die Passwörter zuzugreifen.

    Zitat

    Während FF auf ein externes Element sicherlich nicht zugreifen könnte, weil die sich selber steuern, schätze ich.

    Eine bösartige Erweiterung kann mit deinem System so viel anfangen wie dem Browser-Prozess Rechte zustehen.

  • >Was verstehst du dabei unter "Zugriff auf das File"?

    FF hat eventuell Funktionen, die ihm erlauben auf die PW Datei zu zu greifen. Wenn ein Exploit die Nutzung dieser Funktionen erlaubt, dann hat man ein hohes Sicherheitsrisiko. Natürlich hätte eine Erweiterung auch Zugriff auf die Datei, aber der Unterschied ist ja, dass FF weit aus mehr Funktionen beinhaltet, wodurch sich mehr Angriffsmöglichkeiten bieten. Ein Plugin, das aus ein paar Zeilen Code besteht, hat vergleichsweise wenig Angriffsfläche.

    Ein Grundsatz im Sicherheitswesen für mich ist, dass man immer möglichst wenig Angriffsfläche bieten sollte.

    Was allerdings schwer zu kalkulieren ist, denn jede Erweiterung bietet auf eine gewisse Weise noch mehr Angriffsfläche, auch wenn es intern vielleicht anders aussieht, was man aber unmöglich 100% nachprüfen kann. Letztendlich kommt es eh darauf an, wer einen Exploit wo findet, was niemand vorhersehen kann. Doch man hat die Möglichkeit sich zu fragen, mit welcher Methode man am wenigsten Chancen dazu bietet.

    Jetzt wo ich darüber nachdenke, wird es mir noch deutlicher, dass Plugins ein großes Risiko sind. Ich halte zwar immernoch die externe Methode für nativ sicherer, aber man muss auch bedenken, dass diese Plugins von Privatpersonen entwickelt werden und FF von Profis, die auch regelmässige Patches rausbringen.

    Ein weiterer Vorteil eines Plugins ist es auch, dass sie kaum verbreitet sind, und ein Angriff sich kaum lohnenwürde. Immerhin reden wir über FF, der verglichen zum IE bereits sehr unverbreitet ist. Aber Glücksspiel hat natürlich auch nichts mit Sicherheit zu tun.

  • unix_samurai wrote:

    Zitat

    >Was verstehst du dabei unter "Zugriff auf das File"?

    FF hat eventuell Funktionen, die ihm erlauben auf die PW Datei zu zu greifen. Wenn ein Exploit die Nutzung dieser Funktionen erlaubt, dann hat man ein hohes Sicherheitsrisiko. Natürlich hätte eine Erweiterung auch Zugriff auf die Datei, aber der Unterschied ist ja, dass FF weit aus mehr Funktionen beinhaltet

    Da der Fx den Erweiterungen über die Schnittstellen alles nötige zur Verfügung stellt, sind diese an sich genauso mächtig wie der Fx selbst in Bezug auf die Passwortverwaltung.

    Zitat

    Ein Plugin, das aus ein paar Zeilen Code besteht, hat vergleichsweise wenig Angriffsfläche.

    Die Anzahl der Code-Zeilen ist kein geeigneter Maßstab um über Sicherheit bzw. eine mögliche Angriffsfläche zu diskutieren. Sehr viel Code kann nahezu sicher sein, wenn er bspw. keine Eingaben von außen verarbeitet. Kurzer Code kann kritisch sein, wenn er Input nicht validiert. Grundsätzlich kann man wohl diesbezüglich nur festhalten, dass die Wahrscheinlichkeit von Programmierfehlern natürlich mit der Menge des Codes ansteigt. Aber nicht jeder Fehler ist sicherheitskritisch und meist ist die konkrete Implementierung entscheidend, nicht die Anzahl der Zeilen.

    Zitat

    Ein Grundsatz im Sicherheitswesen für mich ist, dass man immer möglichst wenig Angriffsfläche bieten sollte.

    Prinzipiell natürlich ein richtiger Gedanke.

    Zitat

    Jetzt wo ich darüber nachdenke, wird es mir noch deutlicher, dass Plugins ein großes Risiko sind.

    Plugins genauso wie Erweiterungen. Plugins sind auf Grund der hohen Verbreitungsgrade natürlich interessante Ziele. Flash ist inzwischen fast auf jedem Rechner vorhanden. Erweiterungen sind hingegen sehr mächtig, weil sie über sehr viele Schnittstellen direkt mit dem Browser interagieren können.

    Zitat

    Ich halte zwar immernoch die externe Methode für nativ sicherer, aber man muss auch bedenken, dass diese Plugins von Privatpersonen entwickelt werden und FF von Profis, die auch regelmässige Patches rausbringen.

    Also mir wäre neu, dass Sun oder Adobe von Privatpersonen ohne beruflichen Zugang betrieben werden. Dagegen wird der Fx weniger von Profis entwickelt, als seine Plugins. Zwar hat Mozilla auch einen Stamm an bezahlten Fachkräften, viel Arbeit wird aber auch von der Community geleistet. Die Plugins werden hingegen i.d.R. von Software-Firmen entwickelt.

    Zitat

    Ein weiterer Vorteil eines Plugins ist es auch, dass sie kaum verbreitet sind, und ein Angriff sich kaum lohnenwürde.

    Flash? Über 90%? Wenig verbreitet?

    Zitat

    Immerhin reden wir über FF, der verglichen zum IE bereits sehr unverbreitet ist.

    So verbreitet, dass er inzwischen ein lohnenswertes Ziel ist.