Sicherheit der gespeicherten Passwörter

    Hallo!

    Man hört und liest immer wieder, dass die Gefahr besteht, dass der Browser im Internet ausspioniert wird.

    Ich frage mich wie sicher die in Firefox gespeicherten Passwörter und andere persönliche Daten wirklich sind.
    Also besteht zum Beispiel die Möglichkeit, dass eine Internetseite - ohne dass man es merkt - die gespeicherten Passwörter, Lesezeichen usw. ausspioniert?

    Als Beispiel habe ich gelesen, dass dies bei manchen Streaming-Angeboten wie bei Kino.to der Fall sein soll.

    Natürlich ist mir klar, dass kein Browser 100%tige Sicherheit bietet. Sollte aber die Möglichkeit bestehen, dass die Passwort-Datei in Firefox ausspioniert werden kann,
    so würde dies für viele Nutzer eine gewaltige Gefährdung der Privatsphäre darstellen.

    Wie hoch schätzt ihr die Gefahr ein?

    Der Fx speichert die Passwörter auf eine recht sichere Art - wenn du ein Masterpasswort nutzt. Verwendest du es nicht, kann jeder, der Zugriff auf deinen Rechner bzw. dein OS-Nutzerkonto hat, an die gespeicherten Passwörter gelangen.
    Webseiten können dies nicht ohne Weiteres. Sollten allerdings Sicherheitslücken auf deinem System ausgenutzt werden, kann wieder Zugriff auf deine Daten möglich sein. Dafür kann der Fx aber nichts (außer die Lücke besteht im Fx, derzeit ist hier keine bekannt).

    Zitat

    Als Beispiel habe ich gelesen

    Quelle?

    In dem von mir beschriebenen Sinne. Wenn du Passwörter un- oder trivialverschlüsselt auf deiner Platte speicherst, dann besteht natürlich eine (vergleichsweise höhere) Gefahr.
    Im Vordergrund sollte allerdings deine Systemsicherheit generell stehen und das geht über einen aktuellen Firefox hinaus.

    Ansonsten enthält das Posting keinerlei Nachweise für die Behauptungen und ist daher wertlos.

    boardraider erklärte Folgendes:

    Zitat

    [...]Der Fx speichert die Passwörter auf eine recht sichere Art - wenn du ein Masterpasswort nutzt. Verwendest du es nicht, kann jeder, der Zugriff auf deinen Rechner bzw. dein OS-Nutzerkonto hat, an die gespeicherten Passwörter gelangen.[...]

    Soweit ich das zu beurteilen vermag - Zustimmung!


    Der sog. PasswortSitter (das Passwort-Management-System) des Firefoxes wird durch eine einfache clientseitige Java-Applikation realisiert. Diese vermag aus einem (hoffentlich gut) gewählten „Master-Passwort“ deterministisch - auf Grundlage des AES-Verfahrens - entsprechende „Service-Passwörter“ für den Zugriff auf einzelne Webseiten zu generieren.


    Firefox verwendet dafür - nach meinem bisherigen Kenntnissen - die sog. Network Security Services (NSS) API, um kryptographische Operationen durchführen. Diese NSS besteht aus einer Sammlung von Bibliotheken sicherheitsgerichteter Client und Server-Anwendungen, welche zur Unterstützung von „Cross-Plattform-Entwicklungen“ zum Einsatz kommen. Diese API gilt jedoch als „kompromittierbar“. Die ungeschützte Password-Database des FF´s (ohne Master PW) könnte somit ausgelesen werden - was jedoch nicht für das „kollisionsresistente“ Verschlüsselungsverfahren selber gilt.


    Ergänzend zu der Darstellung "boardraiders" wäre somit - meiner Ansicht nach - die Sicherheit des Browser-PW-Systems alleine abhängig von der:


    a. „kryptographische Stärke“ des Master-Passwortes,

    b. systemgestützten „Zugriffskontrolle“ (über ACL) der „key3.db-Datei“ (als sicherhetsstrategische Objektverwaltung).


    Zitat


    Zertifikate (Signed Public Keys) > certN.db (erzeugen den Hashcode für das ↓)

    Master Password / (Salt) > keyN.db (verschlüsselt den ↓)

    Master Key: > key3.db (generiert daraus die ↓)

    UserNames / Passwords: > signons.txt


    Oliver