Wieso erlaubt Firefox, die gespeicherten Passwörter sichtbar zu machen? Bin schockiert!

  • Firefox-Version
    93.0 (64-Bit) (Stand 30.10.2021)
    Betriebssystem
    Windows 10

    Liebes Forum,

    ich speichere Passwörter im Browser eigentlich so gut wie gar nicht ab. Seit einiger Zeit muss ich aber zugeben, dass ich bei weniger wichtigen Accounts etwas bequemer geworden bin und auf meinem Heimcomputer in einigen Accounts (z.B. Internetforen) dauerhaft eingeloggt bleibe ("auf diesem Computer angemeldet bleiben"). Für einige wenige Accounts habe ich neulich erstmals die Funktion "Passwort speichern" verwendet.

    Nun war ich neulich ziemlich schockiert, als ich bei den Einstellungen gesehen habe, dass dort alle Accounts, für die ich Passwörter gespeichert habe, aufgelistet sind und dass ich die Passwörter durch einen einfachen Klick auf das Augensymbol sichtbar machen kann. Wie darf so etwas sein? Bis dato war ich davon überzeugt (offenbar total naiv), dass wenn mir Firefox schon anbietet, mein Passwort zu speichern, dass es dieses irgendwo verschlüsselt aufbewahrt. OK, ich konnte mir schon immer irgendwie denken, dass ein raffinierter Hacker die Passwörter auslesen können wird (wobei genau derselbe Hacker vermutlich mein Passwort auch zum Zeitpunkt der Tastatureingabe auslesen könnte, weshalb das Eintippen vll. gar nicht so viel sicherer sein müsste als das Speichern). Aber dass jeder x-beliebige Mensch einfach nur in die Optionen gehen und auf das Augensymbol klicken muss? Ist das, so meine Frage, also nicht ein totales Sicherheitsrisiko? Dann könnte ich meine gesamte Passwortliste doch auch gleich in einer Textdatei offen erkennbar speichern?

    Bei meiner bisherigen Internetsuche bin ich lediglich auf die Lösung mit dem "Hauptpassworts" (Master-Passwort) gestoßen. Aber so ganz zufriedenstellend finde ich die Lösung auch noch nicht: das Hauptpasswort wird jetzt bei jedem Firefoxneustart abgefragt. Muss das sein? Ich würde gerne Firefox so wie bislang nutzen, will nur nicht, dass die Passwörter so einfach sichtbar gemacht werden können.

    Ich wäre froh, wenn mir jemand etwas erklären könnte, wie die Hintergründe zu oben geschilderter Problematik sind. Machen das alle Browser so? Muss das so sein? Geht es vielleicht gar nicht anders? Mache ich mir unnötig Sorgen?

    Vielen Dank und Gruß

    Yukusoona

  • Aber dass jeder x-beliebige Mensch einfach nur in die Optionen gehen und auf das Augensymbol klicken muss?

    Nicht jeder x-beliebige. Zumindest nicht, wenn du ein Master-Passwort vergibst. Nur der, der an deinen Rechner kommt und dein Profil starten kann. Ich las, dass man das Master-Passwort relativ einfach knacken kann. Dagegen hilft eine verschlüsselte Partition.

  • Aber dass jeder x-beliebige Mensch einfach nur in die Optionen gehen und auf das Augensymbol klicken muss? Ist das, so meine Frage, also nicht ein totales Sicherheitsrisiko?

    Ist das Benutzerkonto Deines Computers nicht mit einem Passwort geschützt, bzw. lässt Du den Rechner ohne die Eingabe des Passworts in das Benutzerkonto hochfahren? Beides wäre natürlich sträflich töricht.

    Setze folgende Pref in about:config auf true, dann wirst Du zur Eingabe des hoffentlich gesetzten Passworts des Windows-Benutzerkontos zum Anzeigen der Passwörter in Firefox aufgefordert.

    signon.management.page.os-auth.enabled

    Es grüßt,

    Ralf

  • Was ist also dagegen einzuwenden?

    Hallo :)

    Nun war ich neulich ziemlich schockiert, als ich bei den Einstellungen gesehen habe, dass dort alle Accounts, für die ich Passwörter gespeichert habe, aufgelistet sind und dass ich die Passwörter durch einen einfachen Klick auf das Augensymbol sichtbar machen kann. Wie darf so etwas sein?

    Deiner Meinung nach ist das dann ja kein Problem. Das Gegenteil ist aber richtig. Genau wie Dharkness schrieb, bekommt das Benutzerkonto ein Passwort (dazu ist das nämlich da) und das System wird bei Abwesenheit gesperrt. Nicht der Fx ist also das Problem, sondern

    ohne Eingabe des Passwortes fährt der Rechner hoch.

    Das ist einfach grob fahrlässig. Dann kannst Du Dir das Passwort auch gleich schenken. Wenn ich darauf zugreifen möchte, fahre ich einfach runter (oder schalte einfach aus) und wieder hoch.

    Gruß Ingo

  • Setze folgende Pref in about:config auf true, dann wirst Du zur Eingabe des hoffentlich gesetzten Passworts des Windows-Benutzerkontos zum Anzeigen der Passwörter in Firefox aufgefordert.

    signon.management.page.os-auth.enabled

    Perfekt :thumbup: :thumbup:

    Gruß Micha

    Ich beantworte keine technischen Fragen per PN, ICQ, E-Mail, sondern nur in diesem Forum.

    Mein produktiver Firefox ist die jeweils aktuellste installierte Release-Version.

  • Hallo,

    Wie darf so etwas sein? Bis dato war ich davon überzeugt (offenbar total naiv), dass wenn mir Firefox schon anbietet, mein Passwort zu speichern, dass es dieses irgendwo verschlüsselt aufbewahrt. OK, ich konnte mir schon immer irgendwie denken, dass ein raffinierter Hacker die Passwörter auslesen können wird (wobei genau derselbe Hacker vermutlich mein Passwort auch zum Zeitpunkt der Tastatureingabe auslesen könnte, weshalb das Eintippen vll. gar nicht so viel sicherer sein müsste als das Speichern). Aber dass jeder x-beliebige Mensch einfach nur in die Optionen gehen und auf das Augensymbol klicken muss? Ist das, so meine Frage, also nicht ein totales Sicherheitsrisiko? Dann könnte ich meine gesamte Passwortliste doch auch gleich in einer Textdatei offen erkennbar speichern?

    Wie dir bereits erklärt worden ist, sind deine Daten durch dein Betriebssystem-Benutzerkonto geschützt. Es ist deine Verantwortung, wen du unbeaufsichtigt an deinen Computer lässt.

    Die Passwörter werden selbstverständlich von Firefox verschlüsselt gespeichert. Der notwendige Schlüssel, um diese wieder zu entschlüsseln, befindet sich aber auch in Firefox selbst. Das heißt, selbst wenn es die Funktion nicht geben würde, Passwörter anzuzeigen, könnte jeder, der unbeaufsichtigt an deinem Computer ist, auf deine Passwörter zugreifen. Und das ist ja auch logisch. Wenn Firefox (oder jeder andere Browser auch) deine Zugangsdaten auf einer Website eintragen soll, müsssen die Zugangsdaten ja wieder unverschlüsselt eintragen werden. Wie sollte das Ganze ansonsten funktionieren? Ergo muss Firefox die Passwörter selbst wieder entschlüsseln können und dies auch spätestens dann tun, wenn die Passwörter verwendet werden sollen.

    Du kannst den direkten Zugriff auch durch das Betriebssystem-Passwort schützen lassen, der entsprechende Schalter wurde auch schon genannt. Aber selbst damit wird es noch auf anderen Wegen möglich sein, an die Passwörter zu gelangen (Entwicklerwerkzeuge, Kopieren der Passwort-Dateien, Abschaltung des Passwort-Schutzes auf dem gleichen Weg, auf dem du es eingeschaltet hast). Damit sind wir wieder bei dem Punkt, dass man niemanden, dem man nicht vertrauen kann, unbeaufsichtigt an seinen Computer lässt. Der genannte Schalter schützt also, wenn du mal deinen Computer fünf Sekunden unbeaufsichtigt lässt, aber nicht vor jemandem, der wirklich eine böse Absicht hat.

    Für eine zusätzliche Schutzebene bräuchtest du ein Hauptpasswort. Das kannst du in den Datenschutz- und Sicherheitseinstellungen von Firefox konfigurieren.

    Für den Export deiner Zugangsdaten, was deinem Beispiel einer einzelnen Text-Datei mit allen Zugangsdaten entsprechen würdest, müsstest du in jedem Fall das Hauptpasswort oder das OS-Passwort eingeben.

    Bei meiner bisherigen Internetsuche bin ich lediglich auf die Lösung mit dem "Hauptpassworts" (Master-Passwort) gestoßen. Aber so ganz zufriedenstellend finde ich die Lösung auch noch nicht: das Hauptpasswort wird jetzt bei jedem Firefoxneustart abgefragt. Muss das sein? Ich würde gerne Firefox so wie bislang nutzen, will nur nicht, dass die Passwörter so einfach sichtbar gemacht werden können.

    Ja, das muss sein. Andernfalls würde für das Hauptpasswort genau das gleiche gelten wie für das OS-Passwort, es würde also keinen zusätzlichen Schutz geben. Ich bin ehrlich gesagt verwundert: Einerseits schreibst du, dass du schockiert (ein extrem starkes Wort) wärst ob des vermeintlich nicht vorhandenen Schutzes, die Eingabe eines Passworts relativ früh, was letztlich die einzige Möglichkeit ist, den Zugriff effektiv und in allen Fällen zu schützen, magst du aber auch nicht.

    Machen das alle Browser so?

    Selbstverständlich bieten auch andere Browser die Option an, Passwörter zu betrachten. Ich habe es gerade extra nochmal sowohl in Safari als auch in Chrome geprüft, aber ehrlich gesagt wäre alles andere auch sehr verwunderlich gewesen. Wenn man etwas in einer Anwendung speichert, möchte man ja normalerweise auch die gespeicherten Daten einsehen können. Das erlaubt ja auch jeder Passwort-Manager, dessen ziemlich einzige Aufgabe das Speichern und der Schutz deiner Zugangsdaten ist. Auch da kannst du deine Passwörter in jeder mir bekannten Anwendung zu diesem Zweck ansehen. Die Passwort-Verwaltung eines Browsers ist in dem Sinne nichts anderes, bloß eben in "kleiner", weil auf den Browser limitiert.

    Dann kannst Du Dir das Passwort auch gleich schenken. Wenn ich darauf zugreifen möchte, fahre ich einfach runter (oder schalte einfach aus) und wieder hoch.

    Ich bin jetzt bei Windows nicht tief genug drin, was dieses Thema betrifft, aber zumindest auf macOS wird das Passwort auch für die Festplatten-Verschlüsselung verwendet, ist also unabhängig davon relevant, ob man ein Passwort zum Start eingibt oder nicht. Ähnlich wie das Passwort vom Firefox Account ja auch für die Verschlüsselung der Daten bei der Firefox-Synchronisation genutzt wird. Da gibt es zwar keine Option, kein Passwort zu verwenden, aber zumindest hängt auch dort die Stärke der Verschlüsselung von der Sicherheit des Passworts ab, ist also doch auch irgendwo vergleichbar.

    Ich las, dass man das Master-Passwort relativ einfach knacken kann.

    Du meinst das Hauptpasswort. Master-Passwort heißt es schon seit mehr als einem Jahr nicht mehr. Und nein, das lässt sich nicht "relativ einfach" knacken, insbesondere nicht, nachdem die Verschlüsselung in Firefox 72 stärker gemacht worden ist. Jemand, der sein Hauptpasswort vorher konfiguriert und seit dem nicht mehr geändert hat, müsste es halt einmalig ändern, um von der stärkeren Verschlüsselung zu profitieren.

  • Das ist einfach grob fahrlässig. Dann kannst Du Dir das Passwort auch gleich schenken.

    Ja. Nein.

    Jeder Benutzer sollte ein Passwort haben, und sei es nur 123456. Das liegt an der internen Nutzung dessen, ohne lassen sich zB keine Aufgaben anlegen. Oder Elevation, wo ein Passwort verlangt wird.

    Wenn du weinen möchtest, bist du falsch hier. Hier gibt es nur Lösungen!
    Oh Herr, wirf Hirn, oder Steine - Hauptsache, du triffst endlich.
    Zu viele Goofies und Dulleks vom Dienst. Schlabokka!

  • Du meinst das Hauptpasswort. Master-Passwort heißt es schon seit mehr als einem Jahr nicht mehr. Und nein, das lässt sich nicht "relativ einfach" knacken, insbesondere nicht, nachdem die Verschlüsselung in Firefox 72 stärker gemacht worden ist.

    Wegen mir können wir es auch gendergerecht mit * benennen. Wir haben uns ja auch so verstanden. Mit dem leichten Knacken bezog ich mich auf diesen Artikel beim Born https://www.borncity.com/blog/2018/03/1…rt-speicherung/

    Der ist von 2018. Jedoch war das Problem zu diesem Zeitpunkt schon seit Jahren bekannt und nicht gefixt. Wenn sie das inzwischen gemacht haben, umso besser.

  • Ich habe dich auch so verstanden, ja. Aber ich beschäftige mich ja auch mit Firefox und weiß daher, wovon du sprichst. Im Kontext des Firefox-Supports kann es für andere Nutzer allerdings sehr verwirrend sein, wenn Bezeichnungen in den Raum geworfen werden, die in Firefox so überhaupt nicht verwendet werden. Daher ist es hier in diesem Forum schon wichtig, dass wir präzise bei der Benennung sind, insbesondere wenn das Thema von jemandem erstellt worden ist, der neu in diesem Forum ist und wo wir nicht voraussetzen können, dass solche Zusammenhänge bekannt sind.

    Den Link habe ich nicht angeklickt, da ich diese Website nicht für seriös halte und alleine der Titel bei mir die Clickbaiting-Alarmglocken anschlagen lässt. Aber grundsätzlich kann man davon ausgehen, dass wenn einer ernsthafte Sicherheitsgefährdung bestanden hätte, diese auch eher behoben worden wäre. Fakt ist: Die Sicherheit von Verschlüsselungen nimmt mit der Zeit (und der gesteigerten Leistungsfähigkeit von Computern) ab, das betrifft jede Verschlüsselung. Insofern galt die Verschlüsselung natürlich irgendwann nicht mehr so sicher wie noch zu Beginn, als diese so implementiert worden ist. Daraus folgt aber nicht, dass zu dem Zeitpunkt, als das Thema vor vielen Jahren zum ersten Mal aufkam, dass die Verschlüsselung ja stärker sein könnte, sich jeder, der ein Hauptpasswort nutzt, in akuter Gefahr befunden hätte. Stärkere Verschlüsselungen gibt es immer und ein Produkt, welches eine so große Zielgruppe hat, muss sich am Ende immer für einen Kompromiss entscheiden, der verschiedene Aspekte berücksichtigt. Und was die Gefahr einer Brute-Force-Attacke betrifft, ist es eh wie immer: Die Wahl des Passworts ist maßgeblich. Wenn man ein Passwort von der Liste der beliebtesten Passwörter als Passwort verwendet, ist man vermutlich auch mit der stärksten Verschlüsselung schnell durch. Aber ein einmaliges und nicht einfach zu erratendes Passwort benötigt auch mit schwächerer Verschlüsselung Leistung und Zeit, um nur durch Erraten darauf zu kommen.

    Vor allem darf man eines nicht vergessen: Das Ganze setzt so oder so immer noch voraus, dass man Zugriff auf das Benutzerkonto hat, welches normalerweise ja auch passwortgeschützt ist. Wenn jemand unberechtigt diesen Zugriff hat, hat man eh schon ein sehr viel größeres Problem. Das darf in der Gesamtbetrachtung nicht ignoriert werden.

  • Den Link habe ich nicht angeklickt, da ich diese Website nicht für seriös halte und alleine der Titel bei mir die Clickbaiting-Alarmglocken anschlagen lässt.

    Ha, ich bin auch kein Fan dieser Seite. Unseriös scheint sie mir nicht zu sein. Soweit würde ich jetzt nicht gehen wollen. Ich hatte mal eine Mozilla Bug-ID zu diesem Thema gesehen. Wenn ich sie wieder finde, verlinke ich die.

  • Eine Seite, die Blödsinn verbreitet, ist für mich unseriös. Und diese Seite hat in der Vergangenheit definitiv schon Blödsinn verbreitet. Und wie gesagt, wenn ich schon den Titel des verlinkten Artikels lese, sehe ich Clickbaiting, was mich in meinem Urteil nur bestätigt. Eine seriöse Website würde wohl kaum eine so reißerische Überschrift verwenden.

    Die entsprechenden Bugzilla-Tickets kenne ich. Das ist für mich aber auch nicht weiter relevant, denn wie gesagt wurde die Verschlüsselung in Firefox 72 sowieso verstärkt und der Artikel basiert schon auf Grund des Zeitpunkts auf einem älteren Wissensstand.

  • Das born-Blog ist tagesaktuell. Wenn man die richtigen Artikel lesen will, findet man auch nützliche Tipps. Was Firefox angeht, beschränke ich mich lieber auf die richtigen Quellen, da wird auch in manchen Foren so etlicher Mumpitz verbreitet, bei den meisten Kommentaren reicht es für mehr als dummes Bashing leider nicht.

    Wenn du weinen möchtest, bist du falsch hier. Hier gibt es nur Lösungen!
    Oh Herr, wirf Hirn, oder Steine - Hauptsache, du triffst endlich.
    Zu viele Goofies und Dulleks vom Dienst. Schlabokka!

  • Ich habe ein paar Bugs dazu gefunden. Es gibt bestimmt noch mehr.

    973759 - Master password should be protected with stronger cryptography
    NEW (nobody) in Toolkit - Password Manager. Last updated 2021-06-25.
    bugzilla.mozilla.org
    1463865 - (oskeystore) [meta] Support OS-level secret-keeping
    NEW (nobody) in Core - Security: PSM. Last updated 2020-12-29.
    bugzilla.mozilla.org

    524403 sagt duplicate of 1562671, welcher gefixt ist. Alle anderen sind noch offen. Ich habe nicht alles gelesen. Mein Eindruck ist, die Zahl der Iterationen wurde erhöht, aber das unsichere SHA1 ist für das Hauptpasswort geblieben. Mir selbst ist das egal. Mich betrifft das nicht. Denn allein schon, weil ich weiß, wie leicht man den normalen Passwortschutz der Benutzerkonten umgehen kann, verschlüssele ich längst meine Platten und erst recht den Speicher des Phones.