Wie sicher ist das Speichern von Passwörtern im FF?

    Hallo,

    mein Titel sagt es ja schon... Wie sicher ist das Speichern der Passwörter für Internetseiten unter Verwendung des Masterpasswortes..?

    Leider hat mir die Suche kein wirklich aktuelles Ergebnis geliefert. Vielen Dank :)

    Webseiten können Passwörter nicht auslesen. Dazu wird kein Masterpasswort benötigt.

    Wenn allerdings jemand Zugriff auf deinen Rechner hat, könnte er sich deine Passwörter anzeigen lassen. Für den Fall wäre ein Masterpasswort gut. Wenn jemand die Passwort-Dateien kopieren kann, dann hilft auch das Masterpasswort nicht, da die Verschlüsselung die verwendet wird nicht mehr als absolut sicher gelten kann. Mit genug Rechenleistung wäre das Passwort zu erraten.

    Vielen Dank für die schnelle Antwort. Also kann man sagen, es ist sicher. An meine Rechner kommt niemand heran, es sei denn es wird einer gestohlen. Und das sicher nicht wegen der Passwörter...

    Wird denn an einer neuen Verschlüsselung für das Masterpasswort gearbeitet, sodass man in kommenden Versionen mit einer Verbesserung rechnen kann?

    Ist denn dein Windowsbenutzerkonto mit einem Passwort geschützt?
    BTW: Du nutzt zum Surfen hoffentlich ein eingeschränktes Benutzerkonto und nicht etwa eins mit Adminrechten, das obendrein womöglich auch nicht mit einem Passwort geschützt ist?

    .. dann ist die Gefahr eher gering, das jemand an deine Passwörter gelangt und diese kopieren kann. Bei entsprechend hohem technischen Aufwand gelingt aber auch dies... Auch bei einem sichereren Masterpasswort. Ich glaube aber kaum, das jemand deine Passwörter für so lukrativ einschätzt, das er sich darauf stürzt. :)

    Solang niemand ewig viel Zeit an deinem Rechner verbringen oder halt die Dateien entwenden kann, ist die Verschlüsselung ausreichend, um als sicher zu gelten. Darum wird sich wohl auch an der Verschlüsselung nichts ändern.

    Hi CMP,

    alles, was dir auf deine Frage geantwortet wurde, ist grundsätzlich richtig. Trotzdem noch einige Ergänzungen:

    • Die Verschlüsselung der signons.sqlite (= Passwortdatenbank) erfolgt mit 3DES (*), einem uralten Algorithmus, welcher in den Jahrzehnen seiner Existenz nie kryptoanalytisch gebrochen wurde. (Dass man jede Verschlüsselung außer dem One-Time-Pad per Brute-Force mit genügend Zeit und Rechenpower brechen kann, dürfte bekannt sein.)
    • Dein Master-PW ist der Schlüssel für diese symmetrische Verschlüsselung. Die Länge (=> Qualität) des Schlüssels bestimmst du.
    • Es gibt die Möglichkeit, die Verschlüsselung nach "FIPS" zu aktivieren. Das ist der Standard für die Zulassung im behördlichen Bereich in den USA. Du kannst das in etwa (!) mit unserer BSI-Zulassung vergleichen. IMHO für den privaten Gebrauch nicht erforderlich.
    • Wichtig ist, dass du eine leere Passwortdatei zuerst mit dem Masterpasswort schützt, und diese erst danach befüllst. Zumindest wird in der Quelle darauf hingewiesen.
    • Und aus deinen Anmerkungen ist herauszulesen, dass du die Grundsätze des sicheren Betriebes eines Computers kennst und anwendest. Also hast du alles getan, um mit gutem Gewissen deine Passwörter in Verbindung mit einem guten Master-PW im Fx zu speichern.
    • Das es Schadprogramme ("Trojaner", Keylogger usw.) aber auch besonders neugierige Menschen gibt, welche dir die in Benutzung befindliche Passwortdatenbank vom laufenden Rechner ziehen können, erwähne ich nur der Vollständigkeit halber. Aber wie schreibst du so schön: "So wichtig" bin ich nicht... ;)" - und genau so sehe ich das für mich auch.


    (*) Die letzte Information, welche ich dazu gefunden habe.

    Zum selber nachlesen:
    http://luxsci.com/blog/master-pa…hunderbird.html und auch hier.

    MfG WK

    CMP: Du würdest dich wundern. Wichtig hat was mit wert zu tun. Denn Geld regiert die Welt. Facebook wird mit einem Marktwert von 75 bis 100 Milliarden Dollar geschätzt. Das was Facebook aus- und wertvoll macht, sind dessen Nutzer. das sind zur Zeit rund 800 Millionen. 75 Milliarden Doller durch 0,8 Milliarden Nutzer. Damit wird jeder Facebooknutzer mit rund 100 Dollar bewertet. Da Facebooknutzer auch nix anderes sind wie Du und Ich (okay, zumindest in meinem Fall kommen Datenschutzbedenken hinzu, die dem Facebooknutzer fremd zu sein scheinen, aber das ist ein anderes Thema) und 800 Milliarden Leute eine gute Masse zur "Durchschnittsbildung" darstellen, könnte man davon ableiten das die privaten Informationen einer Person mehr wert sind, als Du annimmst. ^^

    Ach, ja! ... :P Dies vergaß ich in meiner Abfrage: Halte dich in sozialen Netzwerken zurück oder (so wie ich) gleich ganz raus.... jede Information die du dort gibst (im übrigen nicht nur dort) wird das Internet nicht mehr vergessen..

    Ich denke ich bin auf der richtigen Seite... ;) :) Vielen Dank für Eure Informationen.

    Eine Frage hab ich aber noch.....: Wer in Gottes Namen ist dieser Herr Facebook??? ;)

    Da muss ich kurz ein Detail korrigieren. Nicht das Passwort ist der Schlüssel, sondern der Schlüssel wird aus dem Passwort abgeleitet. Die Schlüssellänge für 3DES selbst ist konstant! (genau genommen bei 3DES gerade nicht, aber das ist eine Implementierungsentscheidung, die danach feststeht)
    Jedoch versuchen Angreifer i.d.R zunächst kurze Passwörter, da die Anzahl der Möglichkeiten dabei beschränkter ist und sie zudem häufiger genutzt werden. Sie könnten auch einfach den tatsächlichen (abgeleiteten) Schlüssel raten, jedoch ist das weniger erfolgsversprechend.

    Selbstverständlich hast du damit Recht.
    "Die Schlüssellänge von 3DES ist mit 168 Bits dreimal so groß wie bei DES (56 Bits), wodurch die Schlüsselkomplexität um den Faktor 2112 gesteigert wird. Die effektive Schlüssellänge liegt aber nur bei 112 Bits ..."

    Ich hätte dem TE auch erklären können, wie der tatsächlich genutze Schlüssel aus dem PW abgeleitet wird. Aber mal ganz ehrlich, muss er das wirklich wissen? Manchmal sind "Vereinfachungen" für das Verständnis eines Sachverhaltes besser, als wenn ich ihm einen komplexen Vortrag über Kryptologie gehalten hätte. Letzteres habe ich in meinem Leben oft genug gemacht, muss hier im Forum nicht sein.

    MfG WK

    Ich bin davon ausgegangen, dass du es weißt. Ich wollte auch nichts ins Detail gehen, aber falls sich ein Leser mal näher damit beschäftigt wollte ich Verwirrung vermeiden. Bei 3DES gibts da ja auch noch unterschiede, ob nun 2 oder 3 verschiedene Schlüssel verwendet werden etc.

    Hallo,
    aus aktuellem Anlaß klinke ich mich hier in das Thema ein. Wurde gerade wieder gezwungen ein Jahresupdate für Roboform abzuschließen- habe einige Hundert PW hinterlegt und wäre aufgeschmissen wenn ich dort nicht mehr ran käme. Nun zu meiner eigentlichen Frage: worin liegt der Vorteil im Passwordschutz zwischen FF und solchen propagierten Spezialprogrammen?
    Möchte keineswegs die Diskussion aufblähen aber die Frage quält mich schon einige Zeit,
    herzliche Grüße
    guenhol