Ich verwende exakt 2 Passwörer.
Zum einen ein sehr gutes Passwort als MasterPasswort im Firefox selber - in Kombination mit SecureLogin.
Zusätzlich ein zweites sehr gutes Passwort für den verschlüsselten Bereich auf der Festplatte (gesonderte Partition mit Truecrypt, die erst eingebunden werden muss), in dem ich alle Passwörter in einer .txt Datei gespeichert habe, falls ich das Passwort im Firefox vergessen sollte.
Somit ist der Login stets sehr komfortabel und ich muss mir nur 2 Passwörter merken. Die Passwörter für dieses Forum oder andere (ebay, Amazon...) kann ich daher sehr lang und kompliziert generieren.
Ich halte meine Passwortverwaltung für sehr gelungen und fahre so eigtl. sehr gut. Die Erweiterung SecureLogin ist in meinen Augen eine wertvolle Ergänzung !
Grüße
Anmerkung:
PwdHash bietet gegenüber der Nutzung eines Masterpasswortes keinen wirklichen Vorteil was die Sicherheit betrifft. Es ist aber wohl ein etwas bequemerer Weg komplexe Passworte für Webseiten zu erstellen.
Denn erstens weiß ein Angreifer bei dem Master Pw genau wo es liegt
Und? Es wird gehasht gespeichert. Solange du ein ausreichend robustes Passwort verwendest, wird ein Angreifer selbst mit Kenntniss über den Hashwert scheitern. Solange das Passwort gut genug ist helfen auch keine Rainbowtables oder vorberechnete Passwortlisten.
Gilt denn die Master Pw Methode als unsicher
Abgesehen von Sicherheitslücken im Browser oder Malware ist das Masterpasswort-Verfahren so sicher wie jeder vernünftige Passwortsafe auch.
Zugegeben ist es wohl imemrnoch am allersichersten die Pws auf einem externen Datenträger zu speichern
Das sicherste ist es Passwörter gar nicht zu speichern *g* Aber ich halte von solchen puristischen Ansätzen wenig. In Anbetracht der Vielzahl von Passwörtern die bspw. ich selbst benötige, müsste ich entweder ein halbes Genie sein oder eben auf komfortable Tools wie Passwortsafes oder ein Masterpasswort zurückgreifen.
DeinName+Geburtstag ist unsicher,
A7+8(_uht9276-aF# sollte sicher sein.
// Leidest du an Verfolgungswahn? Oder bist du auf PRON-Seiten unterwegs und keiner darfs wissen? Nur mal so nachgefragt.//
A7+8(_uht9276-aF# sollte sicher sein.
Jetzt nicht mehr *eg*
Zitat von boardraiderJetzt nicht mehr *eg*
Stimmt, aber er ist des Schreibens leidlich mächtig und kann nach dem Schema neue generieren. Oder Google mit Passwortgenerator füttern. Es soll für Faule auch Maschinen geben, die sichere Passwörter generieren.
schau mal hier. http://www.roboform.com/de/
Bei mir schon seit Jahren im Einsatz, allerdings die Pro-Version.... :wink: . Wer nicht mehr als 10 Passworte braucht, kann auch mit der FREE-Version zufrieden sein...
Verschlüsselungsmethoden vielfältig:
[Blockierte Grafik: http://img3.imagebanana.com/img/njijdcbc/thumb/roboform.png]
EDIT:
Dazu gibt es noch eine Fuchs-Erweiterung Roboform Toolbar for Firefox. Was will man mehr.... 
Du könntest dir mal Keepass anschauen. Da gibt's afaik auch nette Firefox-Plugins.
Das nehme ich zur Lagerung meiner wichtigen PWs. Die unwichtigeren hab ich in Fx gespeichert und mit SecureLogin hab ich den Komfort, den ich mir wünsche...
Sicher? Nirgendwo was speichern. Alternative: das bereits erwähnte Keepass 
Kai Raven empfiehlt, dass man lieber einen externen Passwortmanager nutzen sollte, statt welche, die sich nur auf den interne FF PW Manager fixieren. Das erscheint mir selber auch logisch.
Und was daran erscheint dir logisch? Du bist an der Stelle ungefähr genauso auskunftsfreudig wie der Referenzierte.
Quelle: http://hp.kairaven.de/bigb/asurf7.html#a6 Strg + F + Master Password Timeout eingeben
Warum nicht so? http://hp.kairaven.de/bigb/asurf7.html#a19a
Also Keepass hab ich auch schon probiert, kam damit im Gegensatz zu Roboform aber eher weniger gut klar. Zwar hat das konvertieren der signons.sqlite geklappt nachdem ich aus einem alten gebackupten Fx 3.0 Profil noch eine signons2.txt gezaubert hatte, aber mit dem Ausfüllen von Formfeldern war ich ziemlich unzufrieden. Es kam öfter vor dass falsche Felder ausgefüllt wurden oder sich plötzlich ganz andere Seiten öffneten. Probleme die mit Roboform nie auftraten.
Kann mir jemand erklären ob und wie man es hinkriegt dass Keepass zuverlässig per Hotkey o.ä. Felder ausfüllt? Das einzige Plugin dass dahingehend vielversprechend klingt ist leider nur für den IE.#
Kann man eigentlich einstellen dass das Masterpasswort vom Fx nur abgefragt wird wenn man sich wo aktiv einloggen will, und nicht schon wenn nur Accountdaten für eine Seite verfügbar sind die man ansurft?
Wenn man ein brauchbares Masterpasswort verwendet ist der von Firefox verwendete Algorithmus im Durchschnitt nicht in annehmbarer Zeit zu knacken, mehr können andere Programme auch nicht bieten.
>Kann man eigentlich einstellen dass das Masterpasswort vom Fx nur abgefragt wird
>wenn man sich wo aktiv einloggen will, und nicht schon wenn nur Accountdaten für eine
>Seite verfügbar sind die man ansurft?Schau mal den Link an, den ich zu letzt gepostet habe. Dort gibt es ein Plug in, das nennt sich Master Wort Time out oder so ähnlich und führt dazu, dass man man nach einer vordefinierten Anzahlvon Sekunden seni MPW wieder neu eingeben muss.
Außerdem gibt es da noch irgendwo ein Plugin auf der Site, bei dem man sich immer nur aktiv einloggen kann, nicht automatisch. D.h. man muss vor jedem Login eine manuelle Bestätigung tätigen.
Mit letzterem meinst du vielleicht Secure Login. Allerdings handelt es sich bei dem geschilderten Phänomen um einen Bug, der auch schon in Bugzilla eingetragen ist. Bspw. dort:
https://bugzilla.mozilla.org/show_bug.cgi?id=400680
Mir ist keine Erweiterung bekannt, die diesen Bug patcht.
Warum ich ein externes Plugin zum verwalten des Passworts nutzen würde liegt daran, weil die interne Funktion erstens am häufigsten verbreitet ist, dadurch vermute ich, dass sich auch die meisten Attacken dagegen wenden
Sind dir aktuelle Angriffsmöglichkeiten bekannt? Prinzipiell bieten dir solche Konstrukte nur bei einem unspezifischen Angriff einen gewissen "Schutz".
zweitens kann ein Angreifer sich bei einem externen Programm den Pfad schlechter erschließen, indem das Pw gespeichert ist
Was nicht ausschließt, dass er das trotzdem kann, wenn er in der Lage ist in deinem System auf das Dateisystem lesend zuzugreifen.
und drittens hat FF ja Zugriffsrechte auf das PW File, d.h. wenn man den Browser komrpomitiert hat, dann hat man vielleicht Zugriff auf das File.
Was verstehst du dabei unter "Zugriff auf das File"? Grundsätzlich könnte bspw. bösartiger Chrome-Code auf die Daten zugreifen, ebenso könnte der Code dann auch in deinem Dateisystem nach anderen Passwortspeichern suchen. Die gefundenen Daten könnte der Code auch zum Angreifer schicken, der mit Passwortcrackern offline die Dateien beackert. Solltest du dich mit deinem Masterpasswort authentifiziert haben, wäre der Code auch in der Lage direkt auf die Passwörter zuzugreifen.
Während FF auf ein externes Element sicherlich nicht zugreifen könnte, weil die sich selber steuern, schätze ich.
Eine bösartige Erweiterung kann mit deinem System so viel anfangen wie dem Browser-Prozess Rechte zustehen.
>Was verstehst du dabei unter "Zugriff auf das File"?
FF hat eventuell Funktionen, die ihm erlauben auf die PW Datei zu zu greifen. Wenn ein Exploit die Nutzung dieser Funktionen erlaubt, dann hat man ein hohes Sicherheitsrisiko. Natürlich hätte eine Erweiterung auch Zugriff auf die Datei, aber der Unterschied ist ja, dass FF weit aus mehr Funktionen beinhaltet
Da der Fx den Erweiterungen über die Schnittstellen alles nötige zur Verfügung stellt, sind diese an sich genauso mächtig wie der Fx selbst in Bezug auf die Passwortverwaltung.
Ein Plugin, das aus ein paar Zeilen Code besteht, hat vergleichsweise wenig Angriffsfläche.
Die Anzahl der Code-Zeilen ist kein geeigneter Maßstab um über Sicherheit bzw. eine mögliche Angriffsfläche zu diskutieren. Sehr viel Code kann nahezu sicher sein, wenn er bspw. keine Eingaben von außen verarbeitet. Kurzer Code kann kritisch sein, wenn er Input nicht validiert. Grundsätzlich kann man wohl diesbezüglich nur festhalten, dass die Wahrscheinlichkeit von Programmierfehlern natürlich mit der Menge des Codes ansteigt. Aber nicht jeder Fehler ist sicherheitskritisch und meist ist die konkrete Implementierung entscheidend, nicht die Anzahl der Zeilen.
Ein Grundsatz im Sicherheitswesen für mich ist, dass man immer möglichst wenig Angriffsfläche bieten sollte.
Prinzipiell natürlich ein richtiger Gedanke.
Jetzt wo ich darüber nachdenke, wird es mir noch deutlicher, dass Plugins ein großes Risiko sind.
Plugins genauso wie Erweiterungen. Plugins sind auf Grund der hohen Verbreitungsgrade natürlich interessante Ziele. Flash ist inzwischen fast auf jedem Rechner vorhanden. Erweiterungen sind hingegen sehr mächtig, weil sie über sehr viele Schnittstellen direkt mit dem Browser interagieren können.
Ich halte zwar immernoch die externe Methode für nativ sicherer, aber man muss auch bedenken, dass diese Plugins von Privatpersonen entwickelt werden und FF von Profis, die auch regelmässige Patches rausbringen.
Also mir wäre neu, dass Sun oder Adobe von Privatpersonen ohne beruflichen Zugang betrieben werden. Dagegen wird der Fx weniger von Profis entwickelt, als seine Plugins. Zwar hat Mozilla auch einen Stamm an bezahlten Fachkräften, viel Arbeit wird aber auch von der Community geleistet. Die Plugins werden hingegen i.d.R. von Software-Firmen entwickelt.
Ein weiterer Vorteil eines Plugins ist es auch, dass sie kaum verbreitet sind, und ein Angriff sich kaum lohnenwürde.
Flash? Über 90%? Wenig verbreitet?
Immerhin reden wir über FF, der verglichen zum IE bereits sehr unverbreitet ist.
So verbreitet, dass er inzwischen ein lohnenswertes Ziel ist.
