Passwortmanager beim neuen Firefox

Zitat von PM

mein Handy hat das Update auf die neue Firefoxversion 79.05 gemacht.

Bitte immer das Betriebssystem mit angeben. Aus der Version ergibt sich hier das Betriebssystem, aber trotzdem.

Hallo,

Zitat von PM

Alle Passwörter im Passwortmanager sind gelöscht.

Und jetzt habe ich plötzlich kein Masterpasswort mehr, sondern nur noch den Entspeermechanismus vom Handy.

Das ist leider das erwartete Ergebnis, da du offensichtlich ein Masterpasswort genutzt hast. Deswegen lohnt es sich, die Artikel hier auf dem Blog immer zu lesen.

Zitat

Mozilla weist darauf hin, dass Nutzer ihr Master-Passwort deaktivieren müssen, wenn sie wollen, dass die gespeicherten Zugangsdaten beim Update übernommen werden

Umstellung vom alten Firefox für Android auf Nachfolger „Fenix“ hat begonnen

Zitat von PM

Ok, wäre aber schön gewesen wenn mir das Firefox vor dem Update gesagt hätte

Firefox hat dir das vorher gesagt. Auf das bevorstehende Update wurde vor dem Update wochenlang direkt auf dem Firefox-Startbildschirm in Form einer nicht zu übersehenden Hinweis-Box hingewiesen. Wurde dem Link gefolgt, stand entsprechender Hinweis über allem anderen auf der Seite in einer auffallend gelben Box.

Nur um das klarzustellen, falls nicht bekannt und die Idee aufkommen sollte: Es ist technisch nicht möglich, Updates via Google Play Store (was nun einmal Mozillas primärer Distributionskanal ist) abhängig von bestimmten Nutzer-Daten zu machen, wie der Tatsache, ob ein Master-Passwort gesetzt ist oder nicht. Sprich viel mehr als darauf hinweisen hätte Mozilla nicht machen können.

Zitat von PM

Also gibt es das Masterpasswort dort gar nicht mehr?

Nein, ein Master-Passwort gibt es nicht mehr. Oder Hauptpasswort, um bei der neuen Sprache zu bleiben, denn morgen erscheint ja Firefox 80 für den Desktop und da heißt es auch nicht mehr Master-Passwort. Interessanterweise kann ich im Issues Tracker vom neuen Firefox nicht eine einzige Anfrage diesbezüglich entdecken, obwohl der neue Firefox ja auch schon länger als ein Jahr in Entwicklung ist. Der direkte Zugriff auf die Passwörter wird ja nun eh über die Android-Authentifizierung geschützt. Demnach scheint der andere Anwendungsfall, den du beschreibst, nicht sehr gefragt zu sein. Am besten schlägst du es selbst vor, wenn du daran interessiert bist.

Ich weiß nicht, woher du deinen Firefox bezogen hast, aber wenn über den Google Play Store, also wirklich von Mozilla und nicht etwa F-Droid oder so, wofür ich nicht meine Hand ins Feuer legen kann, dann gab es definitiv einen großen Hinweis auf dem Startbildschirm. Der konnte weggeklickt werden. Wahrscheinlich hast du das irgendwann getan und erinnerst dich nun nicht mehr an diesen Hinweis. Aber diesen Hinweis hat es definitiv gegeben und dass es den bei dir nicht gab, gibt es nicht. Natürlich vorausgesetzt, dass du nicht noch bei einer älteren Version von Firefox warst, bei der dieser Hinweis noch nicht angezeigt worden ist.

Wie gesagt, wenn dir dieses Feature wichtig ist, würde ich ein entsprechendes Ticket eröffnen. Dass jemand Interesse daran bekundet, ist der erste Schritt, damit daraus Realität werden kann.

Was genau ist nun mit Startbildschirm gemeint, der von Android (Homescreen) oder der von Firefox? Also bei letzterem habe ich auch noch keinen Hinweis bisher gesehen. Allerdings habe ich diesen auch personalisiert. Sprich ich lasse mir nur die Lesezeichen und die Chronik anzeigen beim Start des Firefox. Einen Hinweis mit entsprechendem Erklärungslink habe ich bisher auch nur am Smartphone als Push Nachricht in der (Android) Statusleiste gehabt, hier habe ich auch die Benachrichtigungen für Firefox aktiviert. Am Tablet sind sie deaktiviert, von daher auch keine Benachrichtigung diesbezüglich erhalten. Dies zeigt eindeutig einen Mangel seitens Mozilla hin, wie ich finde.

Der Startbildschirm von Firefox natürlich. Firefox kann auf dem Startbildschirm von Android nichts anzeigen - außer über ein Widget, welches der Nutzer selbst auf dem Startbildschirm platzieren müsste. Das würde hier keinen Sinn ergeben. Wenn du den Standard-Reiter des Startbildschirms entfernt hast, hast du den Hinweis natürlich nicht gesehen. Dafür kann Mozilla aber nichts, das ist dann ein hausgemachtes Problem. Es zeigt aber auch, wie problematisch es sein kann, wenn man ein Produkt zu anpassbar macht.

Wenn das deiner Meinung nach so eindeutig ein Mangel seitens Mozilla ist, bin ich auf die Alternative gespannt, die du gleich nennen wirst. Mozilla kann schließlich nicht mehr machen, als zu kommunizieren. Über den Google Play Store gibt es wie gesagt keine Lösung, darauf zu reagieren, das ist technisch ausgeschlossen. Push-Benachrichtigungen, die du gerade erwähnt hast, sowie Hinweise auf dem Startbildschirm sind so ziemlich die einzigen Möglichkeiten für Mozilla, in einer Weise mit dem Nutzer zu kommunizieren, die er nicht übersieht.

Eine Variante wäre es doch bestimmt, eine Seite nach einem Update direkt aufzurufen. So wie es der Desktop Firefox doch auch macht mit den Hinweisen zur geupdateten Version. Quasi vor Firefox 79.0.5 einfach eine 68.11.1 mit Hinweisseite oder eine Hardcoded Seite mit "ich habe verstanden"-Weiter Button.

Der Vorschlag führt doch aber an der Problematik vorbei. Das Masterpasswort muss vor dem Update deaktiviert werden, ansonsten sind die Passwörter nach dem Update weg. Da können sie nach dem Update so viel anzeigen, wie sie wollen, der Ärger ist dann bereits da.

Falls du meinst, das hätte nach einem vorherigen Fennec-Update passieren sollen: Gut, das wäre dann aber in vermutlich 99 Prozent der Fälle ungelesen geschlossen worden. Das ist eine ziemlich ineffiziente Methode, Nutzer anzusprechen, zumal Firefox mit dem Startbildschirm startet und nicht mit einer Website. Der Weg, den Mozilla gewählt hat, erreicht also definitiv mehr Menschen.

Ich finde nicht, wie gesagt "einfach" eine "hardgecodete" Seite. So in etwa wie eine Eula, die erst geschlossen werden kann, wenn sie "gelesen" wurde. Sprich aktiv am Ende des Textes durch Bestätigungsbtton der erst nach Bewegung zum Textende hin aktiviert wird. So etwas in der Art ist auf jeden Fall sicherer, als eine ausgeblendete Startseite und eine nicht aktivierte Pushfunktion.

Da ich Firefox Sync nutze ist dies bei mir kein Problem. Zudem habe ich noch Firefox Lockwise installiert, somit habe ich die Passwörter eh noch zusätzlich vom Browser Firefox auf meinen mobilen Geräten ? Bin aber nixdestotrotz mal gespannt, wann mein alter Firefox umgestellt und migriert wird.

Zitat von AngelOfDarkness

Ich finde nicht, wie gesagt "einfach" eine "hardgecodete" Seite. So in etwa wie eine Eula, die erst geschlossen werden kann, wenn sie "gelesen" wurde. Sprich aktiv am Ende des Textes durch Bestätigungsbtton der erst nach Bewegung zum Textende hin aktiviert wird. So etwas in der Art ist auf jeden Fall sicherer, als eine ausgeblendete Startseite und eine nicht aktivierte Pushfunktion.

Das ist eher unrealistisch. Das hätte nämlich eine zusätzliche Feature-Entwicklung im ESR-Zweig bedeutet. Weder wäre das aus Ressourcen-Sicht vertretbar gewesen, weil diese Ressourcen dann wieder für Fenix gefehlt hätten und man bereits unter großem Termindruck stand, noch qualifizieren neue Features für ESR-Uplifts, außer vielleicht in absoluten Ausnahmefällen. Und ganz ehrlich, dass jemand sowohl den Startbildschirm entfernt als auch keine Push-Benachrichtigungen erhält, wie wahrscheinlich ist das? Sicher nicht wahrscheinlicher als dass jemand den Text gelesen hätte. Machen wir uns nichts vor: Selbst bei der Kommunikation, die Mozilla gewählt hat und welche den allergrößten Teil der Nutzer auch tatsächlich erreicht hat, wird es fast niemand gelesen haben. Weil Menschen im Allgemeinen nicht lesen und schon gar nicht Links anklicken, um dann noch mehr zu lesen. Schau dir den fetten und roten Hinweis auf unserem Kontaktformular an:

https://www.camp-firefox.de/kontakt/

Auffälliger geht's kaum und man muss nicht erst noch einen Link klicken. Und trotzdem landen täglich mehrere Support-Anfragen nur über dieses Formular in meinem Postfach. Mit anderen Worten: Ja, Mozilla hätte viel Aufwand betreiben können, um ein paar Menschen mehr zu erreichen. Effektiv hätte das aber kaum messbaren Nutzen gehabt.

Zitat von PM

Und noch eine Frage, warum gibt es das Problem überhaupt?

Es sollte doch technisch möglich sein bei dem neuen Firefox eine Funktion einzubauen, die beim Update einmal nach dem Passwort fragt, sie entschlüsselt und dann die Passwort-Daten importiert.

Für die genauen Gründe wirst du einen Mozilla-Entwickler fragen müssen. Aber wie man sich vorstellen kann, ist die Migration von Daten alles andere als trivial, schon gar nicht, wenn Verschlüsselung mit dazukommt und die Daten völlig anders gespeichert werden.

Zitat von PM

Das sollte man doch in einen Updater einbauen können.

Firefox für Android besitzt überhaupt keinen Updater. Updates werden über den Google Play Store verteilt und wie ich bereits sagte, ist es technisch nicht möglich, darüber irgendetwas in Bezug auf vom Nutzer gespeicherte Daten zu machen.

Zitat von PM

Und nein, es ist kein Problem das Firefox konfiguriert werden kann, sondern der Grund warum ich ihn nutze.

Aber wie man sieht, stehen hier zwei Anforderungen in Konflikt zueinander. Ich sag nicht, dass man Firefox jetzt gar nicht mehr anpassbar machen sollte. Ich gebe nur zu Bedenken, dass Anpassbarkeit zwar gut ist, aber einen Preis hat. Und manchmal richtet zu viel Anpassbarkeit eben einen Schaden an, weil man eine wichtige Mitteilung nicht sieht.

Zitat von PM

Ich möchte nicht wissen, wie viele Leute die Meldung auch nicht gesehen oder gelesen haben und jetzt ohne Passwörter da stehen.

Im Issues Tracker haben sich genau zwei Menschen deswegen gemeldet - und da wurde der neue Firefox bereits überall in der Welt außer in fünf Ländern ausgerollt. Das heißt nicht, dass nicht mehr Menschen betroffen sind, aber relativ zu anderen Meldungen gesehen sind das tatsächlich gar nicht so viele.

Aus genannten Gründen halte ich es ehrlich gesagt aber auch nicht für das größte Problem, dass die Meldung Menschen nicht erreicht hat. Ich bin mir ziemlich sicher, dass die Anzahl der Menschen, welche erreicht wurden, den Link aber nicht angeklickt und dann gelesen haben, deutlich größer ist.

Zitat von AngelOfDarkness

Bin aber nixdestotrotz mal gespannt, wann mein alter Firefox umgestellt und migriert wird.

In Deutschland erfolgt die Umstellung seit letzter Nacht.

Zur Information: Die Passwörter sind nicht verloren und es gibt wohl einen Weg, diese zu importieren. Mozilla arbeitet derzeit an einer Lösung. Das dürfte dann wahrscheinlich mit Firefox 81 implementiert sein, da Firefox 80 bereits verteilt wird.

Ich habe mir den "Spass" erlaubt, auf meinem Samsung A70 mit Andoid 10 und Sync mit Masterpasswort das "missglückte" Update zu deinstallieren, dann Neustart, dann die vorherige Version wieder installiert, dann Neustart:

Alles lief wieder wie gewohnt.

Dann habe ich mir mal die Hinweisseite für das Update im Startbildschirm angesehen - auf dem Handy - scroll, scroll, und ja, weiter unten, nach Vorstellung aller Vorzüge des neuen FF und einem Video dazu, kommt tatsächlich ein gelb unterlegter Hinweis auf das auszuschaltende Masterpasswort. Das ist mehr als unglücklich gemacht, hätte definitiv schon auf die Hinweisseite gehört. Wann gab es je ein Update für FF, das einen Eingriff seitens der User erfordert hätte? Gab es m.W. noch nie.

Nachdem alles wieder gut war, meine Passwörter wie gewohnt eingetragen wurden, habe ich mich erneut an das Update gewagt - natürlich mit ausgeschaltetem Masterpasswort. Ergebnis: Passwörter werden weitere nicht eingetragen, auch nachdem die Sicherheits-PIN eingegeben wurde. Die Passwörter sind alle vorhanden, kann sie mir auch ansehen, aber sie werden von FF nicht genutzt - oder doch, ein, zwei Mal sah es so aus, wie wenn es funktioniert. Dann wurde wieder nicht einmal die PIN abgefragt - völlig erratisches Verhalten.

Besonders ärgerlich ist, dass das neue Authentifizierungsverfahren ohne Masterpasswort nirgendwo explizit angekündigt/erklärt wurde. Bin ich etwa einer von ganz wenigen Paradiesvögeln, die Sync mit einem Master- neudeutsch Hauptpasswort genutzt haben? Gibt es User bei denen der Umstieg in diesem Kontext funktioniert hat?

Zitat von Tummetott1

Besonders ärgerlich ist, dass das neue Authentifizierungsverfahren ohne Masterpasswort nirgendwo explizit angekündigt/erklärt wurde.

Ein Hauptpasswort ist überhaupt nicht notwendig, da die Passwörter im neuen Firefox auch ohne Hauptpasswort bereits sicher durch das Betriebssystem verschlüsselt und nicht von von anderen Anwendungen lesbar sind. Selbst wenn du argumentieren wolltest, dass du dich vor dem ersten automatischen Ausfüllen auf Websites authentifizieren möchtest, wäre das mit dem neuen Authentifizierungsverfahren umsetzbar und bedürfte keines Hauptpassworts. Deswegen verstehe ich nicht, wieso dich explizit das Verfahren ärgert.

Grundsätzlich verstehe ich aber auch nicht, wieso man andere Menschen überhaupt unbeaufsichtigt an sein Smartphone lässt. Für mich wäre das ein absolutes No-Go. Aber muss ja jeder selbst wissen, wie er mit sensiblen Daten umgeht. Wer unbeaufsichtigt am Smartphone ist, kann vor allem noch ganz andere Dinge damit machen, da sind dann nicht nur Gedanken in Bezug auf Firefox angebracht…

Zitat von Tummetott1

Ergebnis: Passwörter werden weitere nicht eingetragen, auch nachdem die Sicherheits-PIN eingegeben wurde. Die Passwörter sind alle vorhanden, kann sie mir auch ansehen, aber sie werden von FF nicht genutzt - oder doch, ein, zwei Mal sah es so aus, wie wenn es funktioniert.

In den Fällen, in denen es nicht funktioniert hat, wirst du vermutlich mehrere Logins gespeichert haben. In dem Fall ist das erwartet. Das wurde dir ja schon in deinem Thema gesagt. Eine Login-Auswahl kommt in Kürze. In der Nightly-Version ist das bereits implementiert.

Zitat von Tummetott1

Dann wurde wieder nicht einmal die PIN abgefragt - völlig erratisches Verhalten.

Nein, das ist nicht "erratisch", sondern wurde in der ersten Version bewusst nicht umgesetzt, weil das zu lästig für viele Nutzer ist. Dass es in Zukunft eine Option dafür geben wird, ist denkbar, aber noch nicht beschlossen.