Klarsicht der Passwörter falls Masterpasswort leer

    Hallo,

    ich wollte das Masterpasswort mal ausprobieren und musste dabei erstaut feststellen, dass die Passwörter im Passwort-Manager nach Klicken auf 'Passwörter anzeigen' ohne irgendwelche Schwierigkeiten sichtbar gemacht werden falls kein Masterpasswort eingestellt ist. Wie kann denn das sein? Ich hätte erwartet, dass ohne ein Masterpasswort - d.h. auch ohne gesetztes Masterpasswort - der Zugriff darauf komplett untersagt ist. Standardmäßig dürfte der Passwort-Manager doch aktiviert und das Masterpasswort deaktiviert sein...

    Auf der anderen Seite ist es auch sehr nervig, dass nun beim Starten von Firefox manchmal das Masterpasswort abgefragt wird. Ich möchte eigentlich unbeschwert surfen können aber auch andere Leute an meinen Rechner lassen. Die sollen also meine Passwörter nicht einsehen dürfen, aber gleichzeitig Firefox starten können.

    Was haltet ihr davon, oder gibt es vielleicht einen Weg das Problem zu lösen?

    Gruß, MadXerxes

    Zitat von MadXerxes

    Ich hätte erwartet, dass ohne ein Masterpasswort - d.h. auch ohne gesetztes Masterpasswort - der Zugriff darauf komplett untersagt ist.

    Dann würdest Du ja selbst nicht mehr drankommen. Alternativ würde jeder drankommen, der am PC sitzt und das Masterpasswort einrichtet.

    Hi MadXerxes,

    da war deine Vorstellung wohl etwas anders, als es sich die Entwickler gedacht hatten. Es ist genau so vorgesehen, dass bei nichtgesetztem Masterpasswort (Link) auch die anderen Passwörter lesbar angezeigt werden können. Man geht wohl davon aus, dass ein PC, der nur einer Person zugänglich ist, nicht besonders geschütz werden muss.

    Wenn du unbeschwert surfen möchtest, anderen Leuten aber die Benutzung deines PCs erlaubst, bist im Grunde du auch für das "Sicherheitsmanagement" zuständig. Das kannst du einerseits durch das Einrichten verschiedener Windows-Benutzerkonten (ich gehe mal davon aus, du benutzt Windows) erreichen, wobei dann jeder Benutzer auch ein eigenes Firefox Profil (Link) benutzt. Falls du aber keine verschiedenen Windows-Accounts einrichten möchtest, dann bleibt dir eben die Möglichkeit, den Firefox mit einem Masterpasswort abzusichern. Eine andere Möglichkeit sehe ich nicht.

    Have fun,
    NightHawk

    Zitat von NightHawk56

    ... Eine andere Möglichkeit sehe ich nicht.

    Have fun,
    NightHawk

    eine (kleine) Möglichkeit sehe ich noch: zweites Profil!

    Ein Profil (default) für MadXerxes und ein zweites für die anderen. Darin sind dann keine PW gespeichert, weil deaktiviert. (oder wie auch immer)

    hoschen,

    bei der von dir vorgeschlagenen Vorgehensweise kommt es aber sehr darauf an, ob

    • der PC anderen Leuten auch unbeaufsichtigt überlassen wird,
    • diese anderen vom Wissen her in der Lage wären, auch ein anderes Profil aufzurufen.

    Ich gehe mal grundsätzlich davon aus, dass diese anderen menschen durchaus auch alleine an dem Rechner sind, denn sonst hätte ja MadXerxes die "optische" Kontrolle, ob da einer Blödsinn macht. Wenn aber jemand unbeaufsichtigt an seinem PC werkelt, kannst du durch ein 2. Profil nicht ausschließen, dass dieser liebe Mensch das Profil wechselt (ist ja nun keine Kunst). Wenn dort nun aber die Passwörter nicht durch ein Masterpasswort abgesichert sind, ist schon wieder alles vorbei mit Sicherheit. Ergo: entweder Masterpasswort oder zweiten Windows-Account, gell?

    Have fun,
    NightHawk

    Zitat von NightHawk56

    ich gehe mal davon aus, du benutzt Windows

    Tue ich tatsächlich nicht - arbeite an einem Mac!

    Das mit dem anderen Benutzerkonto ist eine gute Sache - ich mache das sowieso in der Regel so, wenn ich zum Beispiel der Rechner bei einer Feier zum Musik spielen stehenlasse. Ansonsten kommt man wieder ins Zimmer und alle haben viel Spaß mit dem Fotoordner.

    Davon abgesehen finde ich das aber aus Sicherheitssicht echt problematisch. Ich behaupte einfach mal fast jeder Nutzer setzt kein Masterpasswort ein, benutzt jedoch den Passwortmanager (zumindest ist das bei vielen Bekannten der Fall). Nun sind die Passwörter doch für jeden der am Rechner sitzt in sagen wir 20 Sekunden einsehbar - schön sortiert in einer Liste, sodass man sofort sehen kann, dass der typische User fast immer das gleiche Passwort benutzt. Dazu kommt noch der Username, der direkt daneben steht und schon kann ich in Ruhe von zuhause aus fremde E-Mails lesen und Ebay nutzen.

    Okay, der Hacken bei der Sache ist, dass ich dazu erlaubt am Rechner sitzen muss, aber das tut man bei Freunden doch schon mal - und wenn dann die Neugierde größer ist als die Freundschaft? Ober extrem eifersüchtig Typen die ihre Freundin ganz einfach überwachen können...

    Ich hätte erwartet, dass ich den PasswortManager zwar nutzen kann, aber die Passwörter nicht lesbar sind solange ich nicht in den 'Powermodus' hochschalte und ein Masterpasswort vergeben. Die danach eingegebenen Passwörter sind dann auch über das Masterpasswort wieder abrufbar...

    Hm, werde wohl meinen Bekanntenkreis mal darauf hinweisen. Denke nicht, dass das vielen bewußt ist.

    Vielen Dank übrigens für die schnellen Antworten!

    Beste Grüße, MadXerxes

    Hi Leutz,

    Zitat von MadXerxes

    Hm, werde wohl meinen Bekanntenkreis mal darauf hinweisen. Denke nicht, dass das vielen bewußt ist.

    Und dies spiegelt mal wieder das weitaus größte Sicherheitsproblem wieder.


      Mindestens 90% aller Sicherheitslücken eines PCs befinden sich ca 60 - 90 cm vorm Bildschirm!


    Den meisten Programmen - und so auch dem Firefox - wird eine integrierte Hilfe oder sonstiges Informationsmaterial mitgegeben. In den allermeisten Fällen ist eine solche Hilfe sehr bequem zu erreichen - beim Firefox durch das schlichte drücken der Taste [F1]. Leider machen die wenigsten Menschen von der Möglichkeit, sich auf diese Weise zu informieren, Gebrauch.

    Versteh mich nicht falsch, MadXerxes, ich will dich hier nicht angreifen. Aber die Realität zu beschreiben, sollte schon erlaubt sein :wink:

    Have fun,
    NightHawk

    das heißt also, dass es DEFINITIV KEINE extension gibt, die das master-passwort während dem surfen deaktiviert und man es nur eingeben muss, damit man die gespeicherten passwörter einsehen mag?


    mich stört diese abfrage nämlich auch sehr..:-(

    Die einzigen Möglichkeiten, so eine Erweiterung eventuell zu realisieren wären total unsicher, da die Erweiterung das (Master-)Passwort unverschlüsselt (oder zumindest ohne Schlüssel entschlüsselbar was im Prinzip auf's gleiche rauskommt) speichern müsste. Das ist also nichts für jemanden, der damit Schutz vor der Neugier anderer sucht.

    Du kannst höchstens den Button zum Anzeigen der Passwörter ausblenden. Das ist zwar keine wirklich große Hürde, kann aber schon vor einem "mal-schnell-die-Passwörter-ausspähen" schützen.

    Dazu muss nur folgende Zeile in die userChrome.css:

    Code
    #togglePasswords{display:none;}
    Zitat von JonHa

    Du kannst höchstens den Button zum Anzeigen der Passwörter ausblenden. Das ist zwar keine wirklich große Hürde, kann aber schon vor einem "mal-schnell-die-Passwörter-ausspähen" schützen.

    Dazu muss nur folgende Zeile in die userChrome.css:

    Code
    #togglePasswords{display:none;}


    hey klasse, du bist meine rettung..

    danke danke ;) [es ging lediglich darum, dass kumpels/die freundin o.ä. nich direkt meine passwörter einsehen können...] cool!! :>