Zugangsdaten für Websites speichern; Masterpasswort

    Ich habe den folgenden Artikel gelesen:
    https://support.mozilla.org/de/kb/Gespeich…swort-schuetzen
    Leider erschliesst sich mir aus diesem Artikel die genaue Funktionsweise der Funktionen "Zugangsdaten für Websites speichern" und "Masterpasswort" nicht.
    Der Artikel vermittelte mir den Eindruck, dass ein Masterpasswort die Passwörter gar nicht vor Angriffen aus dem Internet schützt (Trojaner, Viren, Malware) sondern nur gegen Angriffe vor Ort direkt am Computer (Diebe, Kollegen, usw). Richtig?

    Alle folgenden Fragen beziehen sich nicht auf Möglichkeiten, die ein Offline- Zugriff auf meinen Computer bietet, die Passwörter aus Firefox auszulesen (z.B. Diebe, Kollegen, die Polizei, das Gericht). Sodern die Fragen beziehen sich nur auf Spionage die aus dem Internet kommt oder Spionage die als Malwarebeigabe in Freeware auf den Computer eingeschläusst wurde.

    1. Frage:
    Ich nehme an, dass die Passwörter im Firefox Profil abgespeichert sind. Richtig?

    --> Scenario A) Wenn ich kein Masterpasswort setzte:
    Frage 2a: Sind die Passwörter im Firefox- Profil verschlüsselt abgelegt, wenn jemand mit einem anderen Profil eingeloggt ist? Oder können die aus dem Profil ausgelesen werden? Z.B. durch Malware oder Sicherheitslücken im Firefox?

    Frage 3a: Sind die Passwörter im Firefox- Profil verschlüsselt abgelegt, wenn ich mit meinem Profil eingeloggt bin? Oder können die aus dem Profil ausgelesen werden? Z.B. durch Malware oder Sicherheitslücken im Firefox?


    --> Scenario B) Wenn ich ein Masterpasswort setzte:
    Frage 2b: Sind die Passwörter im Firefox- Profil verschlüsselt abgelegt, wenn jemand mit einem anderen Profil eingeloggt ist? Oder können die aus dem Profil ausgelesen werden? Z.B. durch Malware oder Sicherheitslücken im Firefox?

    Frage 3b: Sind die Passwörter im Firefox- Profil verschlüsselt abgelegt, wenn ich mit meinem Profil eingeloggt bin? Oder können die aus dem Profil ausgelesen werden? Z.B. durch Malware oder Sicherheitslücken im Firefox?


    Oder anderst gefragt: Welche Möglichkeiten gibt es für Spionagesoftware die gespeicherten Passwörter abzuziehen, wenn ich kein Masterpasswort setze und erhöht ein Masterpasswort die Sicherheit betreffend Spionagesoftware?

    Zitat von Bafire

    Leider erschliesst sich mir aus diesem Artikel die genaue Funktionsweise […]nicht

    Eigentlich steht da doch …

    Zitat

    Wenn Sie Ihren Rechner mit anderen Personen teilen, wird aus Sicherheitsgründen ausdrücklich empfohlen, dass Sie ein Master-Passwort einsetzen.

    Damit sollte eigentlich alles klar sein.
    Es geht um lokale Zugriffe mit einem direkten Zugriff zur Tastatur und somit zum PC.

    Der Rest wirkt so etwas wie Paranoia.

    Grundsätzlich ist natürlich das Setzen eines Masterpasswortes sicherer als kein Masterpasswort zu benutzen.

    https://support.mozilla.org/de/kb/Sicherheit-im-Internet

    Darüber hinaus gibt es eine Systemsicherheit, die es zu beachten gilt.

    Du kannst dich auch damit mal befassen:

    Sicherheitskonzept für Windowsnutzer [Blockierte Grafik: http://i39.tinypic.com/s1kgb4.png]

    Ansonsten geht aus deinem Beitrag der Wunsch hervor, etwas absolut sicher zu gestalten.
    Und den Wunsch wirst du dir nicht erfüllen können.

    Dank dem Link von Fox2Fox bin ich noch auf den folgenden interessanten Link gestossen:
    https://support.mozilla.org/de/kb/wo-werde…ten-gespeichert


    Trotzdem würde mich noch folgendes interssieren (Interessensfragen):

    Frage 4: Da die Benutzernamen und Passwörter in verschlüsselter Form gespeichert sind, muss ja auch irgendwo die Information (sowas wie ein Passwort), wie diese Anmelde-Daten wieder entschlüsselt werden können, gespeichert sein. Wo ist diese Entschlüsselungsinformation gespeichert?

    Frage 5: Die Anmeldedaten sind zwar verschlüsselt, aber die Information für die Entschlüsselung muss ja auch irgendwo gespeichert sein.
    Was ich nicht verstehe:
    Weshalb ist es sicherer, die Anmeldedaten zu verschlüsseln und dann zusätzlich die Entschlüsselungsinformationen, die ja dann nicht verschlüsselt sind, zu speichern,
    als die Anmeldetaten direkt unverschlüsselt dort abzuspeichern, wo die Entschlüsselungsinformationen der Variante 1 abgespeichert sind?

    Und: Frage 6: Ich wundere mich, weshalb man nicht irgend ein Passwort erfinden muss, mit dessen Hilfe dann Firefox die Verschlüsselung der Anmeldedaten vornimmt.
    (Und nein, das Masterpasswort meine ich wohl nicht, denn die Anmeldedaten werden ja sowohl verschlüsselt, wenn man kein Masterpasswort setzt, wie auch dann, wenn man ein Masterpasswort setzt. -> wie man hier nachlesen kann: https://support.mozilla.org/de/kb/wo-werde…ten-gespeichert)

    Guten Tag Bafire!

    zu 4.)
    Bei jeder Art von symmetrischer Verschlüsselung muss die "Entschlüsselungsinformation" irgendwo gespeichert werden. In der Regel auch direkt in der verschlüsselten Datei oder Datenbank.
    Selbstverständlich wird diese Information keinesfalls als (aus-)lesbares Passwort, sondern in einer verschleierten Form gespeichert. Dazu wird zum Beispiel ein so genannter Hashwert genutzt.

    Etwas vereinfacht:
    Aus jeder beliebigen Zeichenfolge (eben auch dem Passwort) kann sehr schnell ein Hashwert berechnet werden. Im umgekehrter Richtung ist die Berechnung der Zeichenfolge aus dem Hashwert mit der heute zur Verfügung stehenden Rechenleistung nicht sinnvoll zu erledigen. Es werden dabei so genannte "mathematische Einwegfunktionen" genutzt.

    Dieser Hashwert wird dem Header der verschlüsselten Datei hinzugefügt.
    Beim Entschlüsseln wird ebenfalls der Hashwert des dabei eingegebenen PW berechnet und mit dem in der Datei gespeicherten verglichen. Bei Übereinstimmung ... .

    zu 5.)
    Ich denke mal, ist damit schon beantwortet.

    zu 6.)
    Könntest du diese Frage bitte noch einmal stellen? Irgendwie verstehe ich sie nicht.


    MfG WK

    Hallo WismutKumpel,
    Danke für Deine Ausführungen zur symmetrischen Verschlüsselung. Ich war allerdings leider nicht in der Lage diese auf Firefox anzuwenden.

    Ich habe jetzt selber noch etwas im Internet recherchiert (z.B. http://stackoverflow.com/questions/3606…ecovery-in-2016) und einige meiner Fragen selber beantwortet.

    1. Frage:
    Antwort:
    Ja, diese Daten liegen im Firefox- Profil. In der Datei logins.json und key3.db .
    In der Datei logins.json sind die Anmeldedaten abgelegt.
    A) Wenn kein Masterpasswort benutz wurde, wurden diese Anmeldedaten nur durch einen Allgorhithmus gelassen. Die Daten sind also nicht ohne weiteres lesbar, aber sie sind auch nicht verschlüsselt. Die Anmeldedaten können mit den entsprechenden Programmen ausgelesen werden. (zum Beispiel damit: https://github.com/Unode/firefox_decrypt)
    B) Wenn ein Masterpasswort benutz wurde, wurden diese Anmeldedaten mit Hilfe eines Schlüssels, der in der Datei key3.db liegt verschlüsselt. Die Datei key3.db wiederum wurde mit Hilfe des Masterpasswortes verschlüsselt. Die Daten können also nicht mehr ausgelesen werden. (Ausser natürlich man verwendet Software die versucht durch intelligentes probieren das Passwort durch Raten herauszufinden)

    Fazit: Es ist also nicht so, dass man nur dann ein Masterpasswort setzten sollte, wenn man sich den Computer mit anderen Leuten (oder Dieben) teilt, sondern auch wenn niemand einen Direktzugang zum Computer hat. Das Masterpasswort sorgt also auch dafür, dass Spionagesoftware (z.B. aus dem Internet) nicht an die Passwörter kommen kann, eben deshalb weil die Anmeldedaten im Endeffekt mit dem Masterpasswort verschlüsselt sind, ohne Masterpasswort hingegen sind die Anmeldedaten eben nicht verschlüsselt.

    Frage 4:
    Antwort:
    Auf https://support.mozilla.org/de/kb/wo-werde…ten-gespeichert steht:

    Zitat

    Der Passwort-Manager von Firefox speichert in verschlüsselter Form Benutzernamen und Passwörter der von Ihnen genutzten Webseiten und trägt diese bei Ihrem nächsten Besuch automatisch in die entsprechenden Anmeldefelder ein.


    Das stimmt nur, wenn ein Masterpasswort gesetzt wurde. Anderfalls wurden die Anmeldedaten nicht verschlüsselt, sondern nur durch einen Algorhithmus gelassen. In diesem Fall kann ein Spion die Passwörter z.B. mit folgendem Programm auslesen. (https://github.com/Unode/firefox_decrypt)

    Und ja, es stimmt, falls ein Masterpasswort gesetzt wurde, sind die Anmeldedaten verschlüsselt, wobei ja dann die Entschlüsselungsinformation das Masterpasswort ist, welches ja dann nicht auf der Festplatte gespeichert ist und somit einem Software-Spion nicht in die Hände fallen kann. (Ausser eine solche Spionagesoftware würde die Tastatureingaben abgreiffen, aber nur durch das ausspionieren der Festplatte kann das Masterpasswort nicht in die Hände eines Software- Spions fallen.)

    Frage 5:
    Antwort:
    A) Ohne Masterpasswort: Da die Anmeldedaten nicht verschlüsselt wurden, ist auch keine Information für die Entschlüsselung notwendig.
    B) Mit Masterpasswort: Nein, die Information für die Entschlüsselung wird nicht gespeichert von Firefox. Das Masterpasswort ist die Entschlüsselungsinformation.

    Frage 6:
    Antwort:
    A) Ohne Masterpasswort: Achtung: Die Anmeldedaten werden ja gar nicht verschlüsselt.
    B) Mit Masterpasswort: Das Masterpasswort ist das Passwort das man erfinden muss und mit dessen Hilfe Firefox dann die Verschlüsselung der Anmeldedaten vornimmt.


    Ich bin nicht sicher ob das obige ausgearbeitete so wirklich stimmt. Es ist ein Versuch zu verstehen, wie Firefox die Anmeldeinformationen speichert und welche Funktion das Masterpasswort genau hat.
    Ich würde mir Korrekturen und Ergänzungen wünschen, aber bitte nur wenn Ihr es wirklich besser wisst.