Sicherheit mit dem Hauptpasswort beim Fx und TB

    Firefox-Version
    90.* +
    Betriebssystem
    Windows 10 un 11

    Moin liebe Kollegen,

    möchte gerne dazu eure Meinungen hören. Falls im falschen Unterforum bitte entsprechend verschieben.

    Bis jetzt hatte ich alle Mozilla-Produkte in einem VeraCrypt-Container am Laufen, nun wollte ich darauf verzichten und wollte den Fx und TB mit einem Hauptpasswort schützen. Würde dies für den Normaluser reichen ? Gerade beim Diebstahl des Laptops würde der Dieb an alle gespeicherten Passwörter herankommen, und das Windowspasswort ist keine ausreichende Sicherheit. Dies kann ich in wenigen Minuten umgehen und aushebeln.

    Gruß Micha

    Ich beantworte keine technischen Fragen per PN, ICQ, E-Mail, sondern nur in diesem Forum.

    Mein produktiver Firefox ist die jeweils aktuellste installierte Release-Version.

  • Zur hilfreichsten Antwort springen
    Zitat von Msfreak

    nun wollte ich darauf verzichten und wollte den Fx und TB mit einem Hauptpasswort schützen.

    Mit Verlaub, ein guter Schutz sieht anders aus. Es sollte sich herumgesprochen haben, Thunderbird speichert die Mails in lesbarem Text. Auch sind Zweifel angebracht, ob das Hauptpasswort von FF und TB sicher ist. Ich habe neulich ein paar offene Bugs verlinkt und einen Artikel von Born. Bei Mozilla findet sich noch mehr dazu. An einer Stelle denkt sogar jemand von Mozilla laut darüber nach, das Hauptpasswort ganz abzuschaffen, damit die Leute einen umfassenden Schutz benutzen. Keine Teillösungen. Das würde sicher nach hinten losgehen. Die meisten Leute haben nicht mal ein Backup, geschweige einen vernünftigen Schutz. Die heulen dann gleich doppelt, wenn der Laptop mal verlustig geht.

    • Hilfreichste Antwort

    Hallo,

    Zitat von Msfreak

    nun wollte ich darauf verzichten und wollte den Fx und TB mit einem Hauptpasswort schützen. Würde dies für den Normaluser reichen ?

    Ja, das ist absolut ausreichend, auch wenn mein Vorredner anderer Meinung ist. Aber wir hatten das Thema kürzlich erst an anderer Stelle, dass die Verschlüsselung vor nicht so langer Zeit verstärkt worden ist, und einen Beleg für seine Vermutung, dass hier ein akutes Sicherheitsproblem bestünde, konnte bis heute nicht vorgelegt werden. Wieso er Born erwähnt, ist mir auch ein Rätsel, denn abgesehen davon, dass die Seriosität dieser Seite zumindest mal zweifelhaft ist, wurde auch im anderen Thema bereits geklärt, dass dieser Artikel veraltet ist, da er sich auf einen Stand von vor der Verbesserung des Hauptpassworts bezieht und damit im Jahr 2021 keine Aussagekraft mehr besitzt. Ebenfalls in dem Thema wurde auch schon erklärt, dass in der Gesamtbetrachtung nicht ignoriert werden darf, dass das Hauptpasswort sowieso erst dann zum Tragen kommt, wenn ein Angreifer bereits Zugang zum System erlangt hat, das Hauptpasswort in Firefox ist nie der alleinige Schutz. Aber wenn jemand unberechtigten Zugriff auf das System hat, dann hat man bereits ein Problem, welches sehr viel größer als die Sicherheit des Hauptpassworts ist. Dann kann dir beispielsweise auch ein Keylogger untergejubelt werden, was die Verschlüsselung des Hauptpassworts sowieso komplett irrelevant macht.

    Sicherer geht immer, aber du sprichst vom Normaluser und da sollte die Kombination aus System-Passwort und Hauptpasswort in Firefox einen sehr guten Schutz bieten. Natürlich steht und fällt die Sicherheit auch immer mit den Passwörtern, die man vergibt. Aber alleine die Verwendung unterschiedlicher Passwörter für beides sollte den Aufwand für einen Angreifer schon sehr hoch machen. Selbstredend immer in Kombination mit stets aktueller Software, um bekannte Schwachstellen zu minimieren.

    Ansonsten, da du ja auch vom Diebstahl sprichst, wie steht es mit einer grundsätzlichen Festplattenverschlüsselung? Bei macOS ist das Standard, bei Windows weiß ich es nicht.

    Zitat von Msfreak

    Dies kann ich in wenigen Minuten umgehen und aushebeln.

    Wie das? Wenn du beispielsweise an das versteckte Administratoren-Konto unter Windows denkst, das lässt sich abschalten.

    Zitat von Thunderbyte

    An einer Stelle denkt sogar jemand von Mozilla laut darüber nach, das Hauptpasswort ganz abzuschaffen, damit die Leute einen umfassenden Schutz benutzen.

    Bevor da jemandem ein Floh ins Ohr gesetzt wird: Seitens Mozilla gibt es keine Pläne, das Hauptpasswort abzuschaffen.

    Zitat von Sören Hentzschel

    Ja, das ist absolut ausreichend, auch wenn mein Vorredner anderer Meinung ist.

    ... Danke für die ausführlichen Informationen :thumbup:

    Zitat von Sören Hentzschel

    Ansonsten, da du ja auch vom Diebstahl sprichst, wie steht es mit einer grundsätzlichen Festplattenverschlüsselung?

    ... hatte ich mir auch schon Gedanken dazu gemacht.

    Zitat von Sören Hentzschel

    Wie das? Wenn du beispielsweise an das versteckte Administratoren-Konto unter Windows denkst, das lässt sich abschalten.

    ... es gibt genug Anleitungen im Internet dazu und nicht einmal auf illegalen und dubiosen Seiten. Aber das ist nicht mein Ding.

    Gruß Micha

    Ich beantworte keine technischen Fragen per PN, ICQ, E-Mail, sondern nur in diesem Forum.

    Mein produktiver Firefox ist die jeweils aktuellste installierte Release-Version.

    Zitat von Msfreak

    möchte gerne dazu eure Meinungen hören.

    Wir reden von einem Laptop. Wie du schon geschrieben hast, das kann leicht gestohlen werden. Es muss nicht mal gleich geklaut werden. Wenn jemand für kurze Zeit unbeobachtet ran kann, reicht das schon. Es soll schon vorgekommen sein, dass ein Laptop am Flughafen bei der Security zurückgelassen werden musste oder in der Bahn vergessen wurde.

    Faktum: Das Hauptpasswort schützt einzig und allein die gespeicherten Passwörter. Mehr nicht. Der Dieb kann alle Dateien lesen, die auf dem Laptop sind. Das heißt alle Mails, die lokal gespeichert sind. Alle Office-Dokumente, alle PDFs, alle Fotos. Der Rechner liegt offen vor ihm.

    Mozilla hat nachgebessert, was die Anzahl der Iterationen beim Hashen betrifft. Aber! Die Anzahl der Versuche ist nicht begrenzt. Der Dieb kann in aller Ruhe einen Brute Force mit einer Wörterbuchattacke machen. Tools dafür gibt es im Internet, Zeit genug hat er. Dann hängt es einzig und allein von der Stärke des Passworts ab.

    Meine Meinung daher, das Hauptpasswort ist besser als nichts, aber nie und nimmer "absolut ausreichend". Schon deshalb nicht, weil bis auf die Passwörter alles andere lesbar bleibt. Für jeden Noob. Dessen sollte man sich bewusst sein.

    Zitat von Sören Hentzschel

    Bevor da jemandem ein Floh ins Ohr gesetzt wird: Seitens Mozilla gibt es keine Pläne, das Hauptpasswort abzuschaffen.

    Das war nicht meine Intention. Ich habe das deshalb erwähnt, weil jemand von Mozilla genau so argumentiert hat wie ich. Nur die gespeicherten Passwörter zu schützen, ist wenig sinnvoll.

    Zitat von Sören Hentzschel

    wie steht es mit einer grundsätzlichen Festplattenverschlüsselung?

    Das wäre der vernünftige, umfassende Schutz. Unter Windows bietet sich Bitlocker an. Den gibt es, glaub ich, leider erst ab der Pro. Die paar Euro sollte es einem wert sein.

    Zitat von Sören Hentzschel

    Ansonsten, da du ja auch vom Diebstahl sprichst, wie steht es mit einer grundsätzlichen Festplattenverschlüsselung? Bei macOS ist das Standard, bei Windows weiß ich es nicht.

    Standard ist es unter Windows 10 nicht (zu Windows 11 kann ich nichts sagen). Auch ist 'Bitlocker' nur in der Pro- bzw. Enterprise-Version standardmäßig überhaupt vorhanden und kann da aber sehr einfach aktiviert werden. Mit wenigen Einstellungen kann man dann auch ohne einen TPM-Chip Bitlocker nutzen, dann wird beim Hochfahren des Rechners grundsätzlich ein Passwort abgefragt. Vor ca. 2 Jahren hat MS auch eine fahrlässige 'Leichtgläubigkeit' von Bitlocker beseitigt und hat das Vertrauen in die Firmware selbstverschlüsselnder SSDs beendet und macht die Verschlüsselung jetzt immer selbst in Software. Somit ist es jetzt wohl als sicher zu betrachten (bis zur nächsten 'Überraschung' ;)). 'Veracrypt' hat wohl immer noch Probleme beim Verschlüsseln der Systempartition, zumindest was Updates anbelangt, sonst wäre das für mich auch hier 1.Wahl. Bleibt halt die Systempartition erstmal unter Microsofts Oberaufsicht, kann ich persönlich damit leben...

    Einmal editiert, zuletzt von BrokenHeart (14. November 2021 um 17:58)

    Zitat von Thunderbyte

    Wir reden von einem Laptop.

    ... nicht nur. Es betrifft auch den Hostrechner mit diversen virtuellen Maschinen, allesamt mit installierten Fx und TB.

    Man kann aber nie einen Einbruch in die Wohnung und Entwendung des PCs oder Laptop ausschließen.

    Eine Verschlüsselung (per BitLocker & Co) des Hostrechners kommt für mich derzeit nicht infrage, da ich keine Erfahrung damit habe und in Windowsforen diesbezüglich schon schlechte Erfahrungen (mit z.B. Windows Updates / Upgrades) erleben durfte. Irgendwann ist es vielleicht zumindest beim Laptop ne Option, obwohl derzeit nicht vorgesehen ist, dass dieser das Haus verlässt.

    Zitat von BrokenHeart

    'Veracrypt' hat wohl immer noch Probleme beim Verschlüsseln der Systempartition, zumindest was Updates anbelangt, sonst wäre das für mich auch hier 1.Wahl.

    ... genau deshalb hatte ich auch für Mozilla-Produkte einen eigenen Container eingerichtet. Nur hatte ich unter Windows 11 bei Videowiedergabe in diesen Containern immer mal unregelmäßig BSOD erhalten (wobei oft die Container beschädigt wurden) und daher wollte ich mal einen längeren Test ohne VeraCrypt machen.

    Zitat von Sören Hentzschel

    Ja, das ist absolut ausreichend,

    ... habe auch mal ein bisschen damit getestet und die Passwortabfrage beim Fx oder TB mit mehrfachen "Abbrechen" abgewürgt. Dann wird zumindest bei einem Login in Webseiten kein Login-Passwort mehr angeboten und auch die Einsicht in den gespeicherten Passwörter ist ohne dem Hauptpasswort nicht mehr möglich, das ist schon einmal sehr gut. Allerdings darf man die bequeme Option "angemeldet bleiben" nicht mehr benutzen. Insofern ist für mich erst einmal OK so und werde schauen wie es weitergeht.

    Gruß Micha

    Ich beantworte keine technischen Fragen per PN, ICQ, E-Mail, sondern nur in diesem Forum.

    Mein produktiver Firefox ist die jeweils aktuellste installierte Release-Version.

  • Msfreak 14. November 2021 um 19:06

    Hat einen Beitrag als hilfreichste Antwort ausgewählt.