wo ist das masterpasswort??

http://www.firefox-browser.de/wiki/Masterpas…r.C3.BCcksetzen

romyna schrieb:

Zitat

[...]Dann hab ich das Master-Passwort wieder gelöscht und nun kann ich mich nicht mehr einloggen, wenn es erforderlich ist, denn er sagt immer falsches passwort, aber ich habe es doch gelöscht??[...]

Mit dem Löschen des MPW´s hast Du auch alle Sub-PW´s deaktiviert - deshalb kannst Du Dich gegenüber "vertrauensvollen" Webseiten nicht mehr authorisieren. Hinzu kommt noch, dass Cookie-Informationen, bezüglich der Log-Ins z.T. separat gespeichert werden.

a. Neues Profil erstellen. Unter dem Aufruf-Parameter: "C:\Programme\Mozilla Firefox\firefox.exe" -P

b. key3.db löschen.

c. Neues MPW über: Extras >>> Einstellungen >>> Passwörter eingeben. Die Sub-PW´s müssten eigentlich noch vorhanden sein.

Achte darauf, bei genau welchen vertrauensvollen Web-Seiten Du Dich über den PW-Automatismus anmeldest willst, und ob das Passwort über den FF-Manager organisiert werden soll. Ich pers. halte ihn für mehr als unsicher.

Onlinebanken, Providerzugänge, Webshop-Logins etc. gehören meiner Ansicht nach definitiv nicht in den PM des FF´s.

Oliver

oliver

Zitat

und ob das Passwort über den FF-Manager organisiert werden soll. Ich pers. halte ihn für mehr als unsicher.

Abgesehen von der noch immer offenen Lücke
https://bugzilla.mozilla.org/show_bug.cgi?id=360493
was bringt dich zu der Aussage. Mich würde deine fachliche Meinung interessieren. Danke!

Bin zwar nicht oliver, aber gespeicherte Passworter können generell auch von Trojanern, Spyware und anderen bösartigen Programmen (und natürlich auch von "lokalen" Personen) ausgelesen werden. Ich würde es nicht so gut finden, wenn mein Online-Banking-Passwort da einfach so auf meiner Festplatte rumliegt. :wink:

Zitat

Bin zwar nicht oliver, aber gespeicherte Passworter können generell auch von Trojanern, Spyware und anderen bösartigen Programmen (und natürlich auch von "lokalen" Personen) ausgelesen werden.

Also afaik werden die Daten mit dem Masterpwd verschlüsselt. Ein vernünftiges Passwort vorausgesetzt, sind die Daten geschützt.

Ein Keylogger ist in der Hinsicht nicht relevant, da dieser Eingaben mitschneiden kann und somit nicht auf das Auslesen von Files angewiesen ist. Gegen schlechte Keylogger kann der Passwortmanager sogar einen Schutz darstellen, aber dieser Punkt ist wie gesagt, nicht interessant.

Mir ging es auch nicht um die prinzipielle Frage, ob man Passwörter wie auch immer auf dem Rechner speichern darf/soll.

Die Kritik von Oli (sorry, falls du diese Abkürzung nicht gern siehst) richtete sich explizit gegen den Passwortmanager des Fx. Daher meine Nachfrage, was er speziell an diesem auszusetzen hat.

boardraider fragte:

Zitat

[...]Die Kritik von Oli (sorry, falls du diese Abkürzung nicht gern siehst) richtete sich explizit gegen den Passwortmanager des Fx. Daher meine Nachfrage, was er speziell an diesem auszusetzen hat.

a. Generell ist meiner Ansicht nach nichts gegen den PW-Manager des FF´s einzuwenden, solange keine vertraulichen Log-In-Daten über ihn verwaltet werden, die irgendwann einmal Geld kosten könnten. Für die vertrauensvolle Einbindung von Firmenzugangsdaten über den PWM des FF´s gilt im prof. Bereich, nach meiner Erfahrung, eher Zurückhaltung.

b. Die Gefahr besteht bezüglich der Auslesungen Deiner PW´s im Klartext über HTML-Manipulationen. (Deine bereits angeführte Reverse-Cross-Site Request (RCSR) Vulnerability). Bei Eingabe des MPW´s liegen auch alle Sub-Passwörter offen wie ein aufgeschlagenes Buch vor Dir und damit auch vor jenen, die Deinen Computer mitbenutzen - bzw. die über Remote auf diesen zugreifen können. Gleiches gilt für separate Auslesungsprogramme. (Stichwort: Übertragungen von vertraulich gespeicherten Benutzernamen und Passwörter an Webseiten, die gar nicht zum Empfang der Daten berechtigt sind. Ist beim IE 7 genauso). Was für die automatischen Nutzereingaben eines Forum wie dieses für Dich o.k. ist, kann bei Deiner Online-Bank schon ganz anders aussehen.

c. Die Art und Weise, wie und ab wann PW´s innerhalb des FF´s verschlüsselt werden. Der PW-Manager des FF´s verschlüsselt oberhalb der API.

Vertrauliche PW´s gehören meiner Ansicht nach in keinen PW-Manager, sondern in Deinen Kopf - oder unter Dein Kopfkissen - auf gar keinen Fall binär abgespeichert.

Oliver

Zitat

und damit auch vor jenen, die Deinen Computer mitbenutzen

Für gewöhnlich sollte niemand seinen Arbeitsplatz ohne Logging des selbigen verlassen und wenn man fertig ist, beendet man die Sitzung für seinen Account. Grundsätzliches Fehlverhalten oder falsche Konfigurationen sind ja nicht Fehler des PWM.

Zitat

Gleiches gilt für separate Auslesungsprogramme. (Stichwort: Übertragungen von vertraulich gespeicherten Benutzernamen und Passwörter an Webseiten, die gar nicht zum Empfang der Daten berechtigt sind. Ist beim IE 7 genauso).

Auf was genau beziehst du dich da?

Zitat

Die Art und Weise, wie und ab wann PW´s innerhalb des FF´s verschlüsselt werden. Der PW-Manager des FF´s verschlüsselt oberhalb der API.

Etwas genauer bitte. Mir reichen auch entsprechende Quellen, brauchst nicht alles selbst erklären. Ich lese es dann nach. Oder gibt es dazu keine "Sekundärliteratur" und ein Blick in den Fx-Quellcode ist nötig? Dann käme ich daran nicht vorbei *grmpf*[/code]

Und noch vergessen...

Danke natürlich für deine Antwort!

Zitat von boardraider

Also afaik werden die Daten mit dem Masterpwd verschlüsselt. Ein vernünftiges Passwort vorausgesetzt, sind die Daten geschützt.

Wenn man denn ein Masterpasswort gesetzt hat...

Zitat

Die Kritik von Oli (sorry, falls du diese Abkürzung nicht gern siehst) richtete sich explizit gegen den Passwortmanager des Fx. Daher meine Nachfrage, was er speziell an diesem auszusetzen hat.

Ich würde nicht sagen, dass der Firefox-Passwortmanager schlechter ist als andere (mal von der Sicherheitslücke abgesehen).

Die Verschlüsselung ist recht gut und selbst wenn man kein MP gesetzt hat, liegen die Passwörter nicht ganz unverschlüsselt auf der Platte.