xxxxxxxxxxxxxxxxxxxxxxxxxx

Du meinst signons und key3.db kopieren? Jedes gespeicherte Passwort ist ein Sicherheitsrisiko und man sollte sich schon überlegen was man da speichert. Unter Freunden ist das Szenario außerdem ziemlich unrealistisch, zumindest nach meiner Sichtweise von Freunden.

Was heißt lediglich? Wenn der "Angreifer" nicht vor deiner Tastatur sitzt dann sollte er dazu sowieso nicht in der Lage, wenn doch hast du wirklich dringendere Probleme. Vorausgesetzt natürlich man benutzt brain.exe und speichert keine sensiblen Passwörter(z.B. Onlinebanking).

Zitat von Frost3000

aber das ist ja sowieso egal, wenn sie so leicht "kopierbar" sind.
da muss man ledeglich auf den pc zugreifen.

Moin

Dein Freund sollte sich ein externes Programm wie z.B. http://www.roboform.com/de/ zulegen oder http://www.erweiterungen.de/detail/Secure_Login/

Dann wird's schon bei bißchen schwieriger Passwörter zu "klauen". :wink:

-GA-

Die größte Sicherheitslücke des Computers ist und bleibt der Kontakt zur Außenwelt (Internet/User).

Solange man ein sicheres Master-Passwort setzt, kann man problemlos auch sensible Passwörter speichern. Die Passwörter werden übrigens sehr wohl verschlüsselt gespeichert, nur ohne Mastper-Passwot liefert man den passenden Schlüssel gleich mit.

Das einzige, was die Firefox-Entwickler tun könnten, ist die Anzeige einer Warnung, dass man ein Master-Passwort setzen sollte. Sowas fände ich ehrlich gesagt auch allemal sinnvoller als Rechtschreibüprüfung und unnütze Phishing-Filter. Aber grundsätzlich stimme ich zu: Solange die Passwörter nur lokal abgreifabr sind (wenn überhaupt), sehe ich hier kein schwerwiegendes Problem.

Ich sitze übrigens oft an fremden Computern und richte irgendwelche Sachen ein. Wäre ich böswillig, könnte ich noch viel sensiblerere private Informationen abgreifen als nur gespeicherte Online-Passwörter.

Zitat von Frost3000

[...]
Ich spreche über die Passwörter der User, die kann jeder einfach so vom PC klauen, welche und wie, das werde ich ganz sicher nicht hier hin schreiben. [...] Da kann ich z.B. zu einem Freund gehen, eine Datei von ihm auf Diskette oder per email weiter verschicken und schon habe ich alle seine gespeicherten passwörter ohne großen aufwand. [...] Mir kommt kein vernünftiger Grund, warum es so leicht gemacht wird.
[...]

Wie würdest Du diesen von Dir beschriebenen Fall technisch verhindern?

Zitat von Frost3000

[...]Das sollte ja jeder wissen, der an firefox arbeitet.[...]

Nur bei Firefox? Und wie sieht das mit der Eigenverantwortung aus?

Zitat von Frost3000

Kann man da nichts gegen machen?

Doch. Das schon erwähnte Masterpasswort setzen. Dann kann jemand, die die Dateien signons und key3.db kopiert, sie solange in ein anderes Profil eibauen, wie er will. Ohne Masterpasswort wird er keine Passwörter sehen können.

(Oder einfach gar keine Passwörter auf dem Rechner speichern.)

Zitat von Global Associate

... oder Secure Login [Blockierte Grafik: http://tinypic.com/2n9lyc7.png] 

Dann wird's schon bei bißchen schwieriger Passwörter zu "klauen". :wink:

-GA-

Was hat SecureLogin mit dem Schutz der Passwörter zu tun ?
SL nutzt auch nur die FX interne Dateien bzw. die Passwörter
des PW-Managers vom Firefox; nur eben etwas komfortabler
in WAND-form.

...:AOD:...

Zitat von pcinfarkt

Wie würdest Du diesen von Dir beschriebenen Fall technisch verhindern?

Nur bei Firefox?

es stimmt dass firefox deutlich anfälliger für sowas ist, weil man bei dem die passwörter im passwortmanager anzeigen lassen kann, in anderen browsern ist das nicht möglich. so könnte man zum beipspiel die passwörter eines users der mal kurz aufs klo gegangen ist anschaun. bei opera und ie gibts diese gefahr nicht. klar kann man das durch ein masterpasswort verhindern, aber die wenigsten haben sowas, weil es nur optional ist und die meisten nichtmal wissen dass soetwas möglich ist.

Zitat von AngelOfDarkness

Was hat SecureLogin mit dem Schutz der Passwörter zu tun ?
SL nutzt auch nur die FX interne Dateien bzw. die Passwörter
des PW-Managers vom Firefox; nur eben etwas komfortabler
in WAND-form.
...:AOD:...

Jo, ich hab's nach dem Absenden auch gemerkt - war aber zu müde, um es noch zu korrigieren. Sorry for this :wink:

-GA-

... abgesehen davon, dass es wohl anzuraten ist, keine wirklich sensiblen Passwörter auf dem Rechner und/oder im Browser zu speichern, ist meiner Meinung nach bei Firefox die Lösung "Masterpasswort" zwar eine gute Sache, kann aber als solches - je nach Situation - extrem lästig sein: z.B. wenn man gerade am Firefox rumschraubt, bzw. Add-ons installiert, deinstalliert, updatet etc. ... und nach jedem Neustart das Masterpasswort fällig ist.

... was ich dabei vermisse, ist die zusätzliche Möglichkeit, das Masterpasswort selektiv einsetzen zu können: etwa nur für Login-Aktionen und Änderungen/Ansicht der Passwörter, so dass das Masterpasswort erst dann fällig wird, wenn es tatsächlich nur um Passwörter geht (meinetwegen dann auch für die laufende Sitzung) - oder zumindest die Möglichkeit, das Masterpasswort temporär zu deaktivieren (etwa auch mit Eingabe des Masterpassworts) ... (für den Fall, dass man mal rumschrauben will ...)

.... dies hätte zudem den Vorteil, dass man beim "Pinkeln" nicht vorher Firefox schließen müsste :lol: - "war jetzt Blödsinn"; aber das Masterpasswort ist nun mal beim Firefox-Start fällig und öffnet während der Sitzung den Zugriff auf die Passwörter, ob man sich nun irgendwo einloggen will oder nicht - es müsste doch zu machen sein, zwei unterschiedliche Instanzen einstellbar einbauen zu können!?? .... wäre vielleicht 'ne Anregung an blueimp wert, denn mit Secure Login ist dies leider auch nicht möglich.

Grüße - doubletrouble

Das Master-Passwort ist doch nicht beim Start des Firefox fällig, sondern erst wenn ich mich zum ersten Mal während der Sitzung irgendwo einloggen will!?
Zumindest ist das bei mir so (Fx 2.0.0.11 + SecLog). Ich kann mir nicht vorstellen, dass es bei dir anders ist. :wink:
Sobald man es allerdings einmal eingegeben hat, kann auch jeder der an den Rechner kommt die PW sehen.
Die ganz wichtigen wie Bank, PayPal etc. würde ich eh nicht auf dem PC lagern.

Gruß
Schraube

Du sagst es: Während der Sitzung.

Wie realistisch ist es, dass du an einem privaten Computer den Firefox startest, das Masterpasswort eingibst, dann den Arbeitsplatz verlässt ohne den Firefox zu beenden und genau in dieser Zeit ein "böser Freund" kommt, der sich in deinen Bank-Account einloggt?

Selbst wenn dieses höchst unwahrscheinliche Szenario eintreten würde: Der "Freund" könnte dann nur in der laufenden Sitzung Unheil anrichten. Das Kopieren der Passwortdateien funktioniert nicht, denn diese Wären bei Nutzung auf einem anderen Computer wieder verschlüsselt. Er kann sich nichtmal die gespeicherten Passwörter anzeigen lassen, denn bei dieser Funktion wird das Masterpasswort auf jeden Fall neu angefordert, auch wenn man es in der laufenden Sitzung bereits eingegeben hat.

Ich bleibe also dabei: Ich halte es bei einem guten Masterpasswort für absolut kein Problem, jeden beliebigen Logindatensatz auf dem privaten(!) Rechner zu speichern.

Zitat von PIGSgrame

...Wie realistisch ist es, dass du an einem privaten Computer den Firefox startest, das Masterpasswort eingibst, dann den Arbeitsplatz verlässt ohne den Firefox zu beenden und genau in dieser Zeit ein "böser Freund" kommt, der sich in deinen Bank-Account einloggt?

Unrealisisch.

Zitat von PIGSgrame

...Er kann sich nichtmal die gespeicherten Passwörter anzeigen lassen, denn bei dieser Funktion wird das Masterpasswort auf jeden Fall neu angefordert, auch wenn man es in der laufenden Sitzung bereits eingegeben hat.

Stimmt, da kommt sogar nochmal die Frage nach der Master-PW Eingabe. Hatte ich vergessen.

Zitat von PIGSgrame

Ich bleibe also dabei: Ich halte es bei einem guten Masterpasswort für absolut kein Problem, jeden beliebigen Logindatensatz auf dem privaten(!) Rechner zu speichern.

Bei Verwendung eines sicheren Master-Passwortes ist das dann wohl ok.
Vorsichtig oder besser umsichtig sollte man trotzdem sein (ist wohl wieder eine Sicherheitslücke aufgetaucht mit der man PW in Fx ausspionieren kann).
Man sollte aber auch die Sicherheitslücke bedenken, die entsteht wenn die Passwörter nicht gespeichert sondern aufgeschrieben werden.
Wenn der Zettel zwecks schneller Erreichbarkeit in der Schreibtischschublade unter dem Monitor liegt, dann ist nichtmal ein Master-Passwort fällig um an alle PW zu kommen.

Gruß
Schraube

Zitat von 1 Sack Schrauben

Vorsichtig oder besser umsichtig sollte man trotzdem sein

Das sollte man immer, da gebe ich dir natürlich Recht :wink:

Zitat von 1 Sack Schrauben

ist wohl wieder eine Sicherheitslücke aufgetaucht mit der man PW in Fx ausspionieren kann

Falls du diese meinst, die von Heise, WinFuture und Co. verbreitet wird: Damit kann man keine gespeicherten Passwörter ausspionieren und schon gar nicht das Masterpasswort. Man kann durch diese Lücke nur jemanden dazu bringen, Seine Logindaten irrtümlich auf einer nicht vertrauenswürdigen Seite einzugeben. Das ist zwar auch schlimm genug, aber eine Gefahr für gespeicherte Passwörter besteht da nicht.

irre ich mich vllt, aber ich dachte mal i-wann (vllt ein Viertel Jahr her) hätte ich ein Tool gesehen, mit dem man sein Master-PW killen kann... Dann wäre aber ein Master-PW nicht mehr sicher...

Meinst du Mozilla Password Recovery [Blockierte Grafik: http://i16.tinypic.com/6pf0wvr.png]?

Zitat von Coce

Meinst du Mozilla Password Recovery [Blockierte Grafik: http://i16.tinypic.com/6pf0wvr.png]?

weiß nicht mehr ob es das war, aber da steht ja

Zitat

Recover lost User Master Password;

also hört es sich so an als ob man damit das Master-PW wiederbekommen könnte...

Aber ich glaube das was ich noch im Kopf hatte war sowas wie FireMaster
(ja, die Seite kann man rechts auch auf deutsch übersetzten lassen aber hört sich grauenvoll an :lol: )