Masterpasswort - Verschlüsselung

    Moin,

    bei der Suche nach etwas anderem bin ich auf folgende Diskussion gestossen, die mich zum Nachdenken angeregt hat :-??
    Link

    Zitat


    Deine Erinnerung täuscht dich. Von verschlüsseln steht da nix.

    Ich dachte auch immer (und im FF wird das auch so dargestellt), dass die Passwörter MIT DEM MASTERPASSWORT verschlüsselt werden, so dass niemand ohne das Masterpasswort an die gespeicherten PW drankommt.

    Ich habe aber auf den diversen Hilfe-Seite und Wikis nichts derartiges gefunden, nur dass der Schlüssel in einer Datei gespeichert wird (...files that store the encryption key (key3.db) ...). Andererseits steht hier

    Zitat

    Sollte man das Master-Passwort vergessen, hilft alternativ auch das kommerzielle Windows-Programm Mozilla Password Recovery (MPR) (http://www.passcape.com/mozilla_password_recovery). Die Anwendung lohnt sich aber nur dann, wenn Sie Ihre gespeicherten Passwörter behalten wollen. Wurde das Master-Passwort hinreichend sicher gewählt (8 Zeichen oder mehr mit Groß-/Kleinbuchstaben, Zahlen und Sonderzeichen), so kann es durch MPR nicht ermittelt werden.


    d.h. dieses Programm versucht, das MPW durch Brute Force zu knacken, was wiederum heisst, dass es nicht auslesbar ist?

    Das ist wichtig für mich, mein gesamtes Sicherheitskonzept :D basiert darauf, dass die Leute, die sich als Admin an meinem Rechner einloggen können, zumindest nicht meine Passwörter auslesen können. Denn das hier:

    Zitat von Boersenfeger

    Z.B. indem du dein Windows-Benutzerkonto mit einem Passwort schützt! Ein Masterpasswort wäre dann überflüssig. BTW: dieses Windows-Benutzerkonto hat hoffentlich nur eingeschränkte Rechte?

    ist natürlich Schwachsinn, sobald ich den Rechner von CD starte und mir das FF-Profil kopiere, habe ich alle Logins.

    Weiss hier jemand genaueres bzw. kennt entsprechende Links?

    Viele Grüße
    Eike

    Zitat von eike42

    ...mein gesamtes Sicherheitskonzept :D basiert darauf, dass die Leute, die sich als Admin an meinem Rechner einloggen können, zumindest nicht meine Passwörter auslesen können.

    Verhindere dies durch geeignete Maßnahmen. Verwende z.B. TrueCrypt.

    Zitat von Boersenfeger

    Verhindere dies durch geeignete Maßnahmen. Verwende z.B. TrueCrypt.

    Arbeitsrechner, d.h. auch andere Leute arbeiten daran. Abgesehen davon ist das Ding jetzt schon langsam, da werde ich bestimmt noch die Festplatte verschlüsseln, abgesehen von solchen Dingen wie Datenrettung, Booten unter Linux etc. die dann nicht oder nur noch beschränkt möglich sind.

    Also kann mir keiner eine Quelle nennen zum Thema Master Passwort und Verschlüsselung?

    Zitat von eike42

    Arbeitsrechner,

    Das hättest du im ersten Post mitteilen können :) dann hätte ich dir empfohlen mit einem portablen Firefox vom Stick zu browsen. Andererseits klick auf Cosmos Link. So, wie du dir vorstellst, gehts IMHO nicht!

    eike42 erklärte u.A. Folgendes:

    Zitat

    Ich dachte auch immer […] dass die Passwörter MIT DEM MASTERPASSWORT verschlüsselt werden, so dass niemand ohne das Masterpasswort an die gespeicherten PW drankommt.


    Das ist richtig, solange Dein Masterpasswort innerhalb der Firefox-Arbeitsumgebung (also im Browser selber), durch eine relativ gesicherte Authentifikation - z.B. durch willkürlich gemischte ASCII-Zeichen – definiert wird.

    Eine vertrauliche Passwortverwaltung innerhalb des Firefoxes ist – meinen bisherigen Erkenntnissen nach - dennoch als rudimentär und somit auch als unsicher zu bezeichnen, da die „Ablageorte“ dieser vertraulichen digitalen Passwortdateien, innerhalb des zugrunde liegenden Betriebssystems (z.B. Windows), kompromittierbar sind.


    eike42 erklärte darüberhinaus Folgendes:

    Zitat

    [...]Das ist wichtig für mich, mein gesamtes Sicherheitskonzept basiert darauf, dass die Leute, die sich als Admin an meinem Rechner einloggen können, zumindest nicht meine Passwörter auslesen können.[...]


    Von welchem Sicherheitskonzept sprichst Du? Hast Du überhaupt eins?


    eike42 erklärte schlussendlich Folgendes:

    Zitat

    [...]ist natürlich Schwachsinn, sobald ich den Rechner von CD starte und mir das FF-Profil kopiere, habe ich alle Logins.[...]


    Voraussetzung ist dabei jedoch, dass entweder ein direkter Zugriff auf das Benutzerverzeichnis des OS (z.B. Windows) selber besteht oder jemand darüberhinaus in den Besitz der vertraulichen Passwort-Dateien: (key3.db / cert8.db / signon.sqlite / *3.txt / *2.txt) gelangt.

    Passwortbasierte Zugriffskontrollen stellen auf Systemebene (z.B. Windows) die Gesamtheit Deines Sicherheitskonzeptes dar. Der Browser ist dagegen bloss ein Bestandteil dieses sicherheitskritischen Zugriffs-Verfahrens.

    Eine Schwierigkeit entsteht obendrein noch dadurch, dass heutige Systeme (Betriebssysteme oder einzelne Prozesse so eines Betriebssystems) sich nicht gegenüber ihren Nutzern authentifizieren können.

    Im übertragenen Sinne ausgedrückt, möchtest Du auch nicht in einem „Sportwagen“ Platz nehmen wollen, der mit Dir zusammen zwar alle Rennen gewinnen würde, dessen Bremsen jedoch nicht funktionieren, obwohl Du angeschnallt bist. ;)


    Oliver

    Hallo Oliver,

    Zitat von Oliver222

    eike42 erklärte u.A. Folgendes:


    Das ist richtig, solange Dein Masterpasswort innerhalb der Firefox-Arbeitsumgebung (also im Browser selber), durch eine relativ gesicherte Authentifikation - z.B. durch willkürlich gemischte ASCII-Zeichen – definiert wird.

    ich habe meine Diplomarbeit über Rechnersicherheit und Verschlüsselung geschrieben und brauche keine Erklärung, wie ein Passwort aussehen sollte, sondern suche einen Link oder eine Aussage, auf welche Weise die gespeicherten Passwörter im Firefox abgelegt sind, also ob das Masterpasswort eine Rolle bei der Verschlüsselung spielt und welches Verfahren angewandt wird.

    Zitat


    Eine vertrauliche Passwortverwaltung innerhalb des Firefoxes ist – meinen bisherigen Erkenntnissen nach - dennoch als rudimentär und somit auch als unsicher zu bezeichnen, da die „Ablageorte“ dieser vertraulichen digitalen Passwortdateien, innerhalb des zugrunde liegenden Betriebssystems (z.B. Windows), kompromittierbar sind.

    Wie bereits geschrieben gehe ich davon aus, dass die Dateien kompromittierbar sind, d.h. ein potentieller Angreifer, sei es jemand der am PC Admin-Rechte hat, der physikalisch am PC sitzt oder ein Programm, das sich auf meinen PC eingenistet hat, kann an die Passwortdatei(en) rankommen. Kann dieser Angreifer die Passwörter auslesen, ohne das MPW zu kennen?

    Zitat


    eike42 erklärte darüberhinaus Folgendes:


    Von welchem Sicherheitskonzept sprichst Du? Hast Du überhaupt eins?

    Sicherheitskonzept war eher spassig gemeint, aber ich mache mir zumindest Gedanken darüber, wer wie auf meine Daten zugreifen kann. Natürlich kann man seine Festplatte verschlüsseln oder den Rechner komplett vom Internet trennen, aber man muss ja auch damit arbeiten. Meine gespeicherten Passwörter sind jetzt auch nicht so weltbewegend wichtig, dass ich sie mit irgendeiner Todesverschlüsselung sichern muss, aber ich will zumindest verhindern dass jemand einfach ein paar Dateien kopiert und sich als Eike einloggen kann.

    Danke für deine ausführlichen Erklärungen zum Thema Sicherheit und Sportwagen! ;)

    Zitat von eike42

    (...) Ich dachte auch immer (und im FF wird das auch so dargestellt), dass die Passwörter MIT DEM MASTERPASSWORT verschlüsselt werden,


    Nö,

    Zitat von <woltlab-metacode-marker data-name=

    Passwörter speichern" data-link="">

    Wenn der Passwort-Manager aktiviert ist, werden die sensiblen Daten verschlüsselt auf Ihrer Festplatte gespeichert.


    Zusätzlich kann FF die verschlüsselt abgelegten Passwörter gegen unberechtigten Zugriff mittels Master-Passwort schützen.

    Zitat von <woltlab-metacode-marker data-name=

    Passwörter schützen" data-link="">

    Firefox kann die Passwörter, die Sie speichern, mit einem Master-Passwort schützen.


    Da nun jeder der Zugriff auf die hinterlegten Passwortdateien hat, diese mittels copy & paste in einen anderen FF importieren kann, können diese dort benutzt und via Passwortmanager ausgelesen werden. Ein Master-Passwort verhindert dies.

    Ergo: Die verschlüsselt abgelegten Passwörter lassen sich als Datei nicht einfach auslesen, aber simpel in einen FF importieren und dort dann auslesen. Dies verhindert ein Master-Passwort mittels zusätzlicher Dateiverschlüsselung; ein mögliches Rücksetzen des Master-Passworts löscht alle gespeicherten Passwörter.

    Daher immer ein Master-Passwort setzen.

    eike42 erfragte u.A. Folgendes:

    Zitat

    [...]suche einen Link oder eine Aussage, auf welche Weise die gespeicherten Passwörter im Firefox abgelegt sind, also ob das Masterpasswort eine Rolle bei der Verschlüsselung spielt und welches Verfahren angewandt wird.


    a. Der Algorithmus des Masterpasswortes (Firefox 2/3) folgt – meinen bisherigen Informationen nach – einem veralteten, symmetrischen 3DES-Verschlüsselungsverfahren, welches in der heutigen Zeit nicht mehr als sicher betrachtet werden kann, da der zugrundeliegende „Schlüsselraum“ dieser Hashfunktion nur 2^112 verschiedene Kombinationen gewährt (!), was zukünftig jedoch als unzureichend gilt. Eine sichere Verwahrung der individuellen digitalen Schlüssel ist von daher für die Masterpasswort-Sicherheit vordringlicher, als die kryptographische Stärke der einzelnen Passworte selber.


    b. Firefox lässt darüberhinaus ein Zurücksetzen der vertraulichen PW-Daten zu, sofern ein Anwender einen erfolgreichen Zugriff auf die Betriebssystemkonten erwirkt. Damit ist der Firefox-PW-Manager für sensible Authentifikations-Massnahmen indiskutabel.


    c. Neben der kryptographischen Stärke der Hashfunktion selber, sollte obendrein eine separate Zugriffs – und Rechtebeschränkung des zugrundeliegenden Betriebssystems gelten. Dies gilt – meinen Kenntnissen nach – vorrangig für lesende Zugriffe, welche u.U. i.d.L. sind, die „temporären Ablagen“ solcher vertraulichen Passwörter im Klartext auslesen zu können.


    Oliver


    http://luxsci.com/blog/master-pa…hunderbird.html
    http://en.wikipedia.org/wiki/3DES
    http://en.wikipedia.org/wiki/Template_talk:Crypto_block

    Zitat von Oliver222

    b. Firefox lässt darüberhinaus ein Zurücksetzen der vertraulichen PW-Daten zu, sofern ein Anwender einen erfolgreichen Zugriff auf die Betriebssystemkonten erwirkt. Damit ist der Firefox-PW-Manager für sensible Authentifikations-Massnahmen indiskutabel.


    Falls man das Masterpasswort vergisst, gibt es eine Möglichkeit das Passwort zurück zu setzen. Alle mit dem Masterpasswort verschlüsselten Passwörter gehen dabei aber meines Wissens nach verloren.

    Einzig mit einem Brutforce-Angriff kann man das Passwort entschlüsseln. Das setzt lokalen Zugriff auf das System voraus. Sobald lokaler Zugriff erfolgt, und vom System entsprechende Rechte verfügbar sind, helfen aber im Grunde kaum mehr irgendwelche Alltagsverschlüsselungen.