Verbesserung der Sicherheit für gespeicherte Passwörter möglich?

  • Hallo zusammen,

    ich speichere die Passwörter meist alle in Firefox. Wer Zugriff auf meinen PC/Handy hat könnte also hier schnell die Passwörter ergattern und sichtbar machen. Weiter nutze ich über den Account auch firefox auf dem andriod Handy, so dass ich auch hier in Foren schnell die Passwörter und auto-Login nutzen kann.

    Fragen:
    1.) Gibt es die Möglichkeit den Zugriff unter Einstellungen => "Passwörter anzeigen" mit einem Masterpasswort zu sichern?
    2.) Wie sicher sind die Passwörter bei Firefox vor Zufriffen eigentlich geschützt? Selbst eine Eingabe ist bei einem installierten Keylogger meines Erachtens nicht unbedingt sicher als autologin, wenn man diesen wie auch andere Schadprogramme nicht bemerkt.

    Mir ist schon klar, dass es keine 100% sicheren System gibt, aber ich versuche Bequemlichkeit mit mehr Sicherheit zu verbinden. Vielen Dank für Euer Feddback.

    Gruß Christian

  • Alternativ kannst du auch einen externen PW-Manager zur Verwaltung nutzen. Es gibt ja einige kommerzielle sowie open-source Kandidaten.
    Keepass z.B. kann so eingestellt werden, dass die Win-Zwischenablage umgangen wird sodass Keylogger (eigentlich) keinen Zugriff mehr auf Zugangsdaten haben (sollten). Über entsprechende Shortcuts kannst du Keepass dann starten und die Daten aus dem Safe laden lassen.

    Oder du nutzt neben Keepass noch eine Erweiterung für Firefox die die Datenbank von Keepass lädt. Zwei interessante Kandidaten wären: KeePass Tusk und Kee

    Nutzt du eine entsprechende App auf dem Smartphone (Stichwortsuche im Playstore oder dem alternativen Store F-Droid z.B. mit "keepass") und synchronisierst die Daten regelmäßig, hast nebenbei noch redundante Backups deiner wichtigen Daten.

    Edit
    Link korrigiert.

    Danke.

    Einmal editiert, zuletzt von Stoiker (16. März 2019 um 18:56)

  • Hallo zusammen,
    vielen Dank für die Antworten!!!

    Wie sicher kann man denn gernerell firefox und Passwörter im Standard einstufen bzw. wie hoch ist Gefahr, dass die Daten durch eine Drittsofware/Anbieter ausgespäht werden können und ev. im Netz auftauchen, wie bei den Mail-account-Skandalen?

    Bei meinem Girokonto habe ich das Passwort nur im Kopf und speichere es nirgens. Auf dem Smartphone nutze ich samsung keypass komme aber nicht so richtig klar wie das alles abgestimmt funktioniert: Bspw. hatte ich hier im Forum das Passwort vorhin geändert. Als ich Eure Antworten per Mail über den Link im firefox-Borwser des Handys nutzen wollte, war das Passwort falsch, sprich es war nicht mit dem PC syncroniert. Ich habe so das Gefühl, dass ich mit dem Stand der Einrichtung/Übernahme arbeite!?

    Was lief da schief?
    Wie kombiniere ich das Ganze mit samsung keypass?
    Das mit dem Masterpasswort habe ich gerade getestet. Ist leider unpraktikale, da man es ja jedesmal eingeben muss? Mir geht es darum, dass keiner über Einstellungen=> Datensicherheit darauf zugreifen kann (Frau Kind Kegel usw.). Weder bei Handy noch auf dem PC. Den Komfort mit Autologin möchte ich weiterhin nutzen.


  • Das mit dem Masterpasswort habe ich gerade getestet. Ist leider unpraktikale, da man es ja jedesmal eingeben muss?


    Und daraus kannst du keine Sicherheit ableiten?

    Zitat

    Mir geht es darum, dass keiner über Einstellungen=> Datensicherheit darauf zugreifen kann (Frau Kind Kegel usw.). Weder bei Handy noch auf dem PC. Den Komfort mit Autologin möchte ich weiterhin nutzen.


    Dir wurde schon erklärt, dass das Masterpasswort vor Zugriff schützt.


  • wie hoch ist Gefahr, dass die Daten durch eine Drittsofware/Anbieter ausgespäht werden können und ev. im Netz auftauchen, wie bei den Mail-account-Skandalen?

    Bei meinem Girokonto habe ich das Passwort nur im Kopf und speichere es nirgens.

    Du machst dir ja Gedanken, und das ist auch gut so.
    Aber meines Erachtens nach siehst du die Gefahren nicht wirklich an den richtigen Stellen.

    Denn das Problem ist, wenn du davon ausgehst das sich Schadsoftware auf deinem Rechner befindet, und davon gehst du ja scheinbar latent aus, dann gibt es nichts was dich dann noch davor schützt, denn du weißt ja nicht was diese Schadsoftware macht, wie sie es macht, und was sie eigentlich will.

    Der Zug ist dann abgefahren, und es ist vergeudete Zeit sich ein Sicherheitssystem für ein bereits infiziertes System zu überlegen. Du fährst dann nur im Kreis.

    Dein Sicheheitssystem sollte nach dem System gehen:
    - Mein System ist sauber, und ich will das es so bleibt
    und
    - Meine Daten sind sicher, und ich will das sie sicher bleiben.

  • Vielen Dank für die Rückmeldungen. Mein System ist sauber und soll es auch bleiben. Wenn ich sehe, wie leicht man bei firefox auf die Zugangsgangsdaten zugreifen kann, stellt man sich die Frage, wie schnell dies ggf. auch andere von außen können, FALLS es mal dazu kommen sollte und wie man dies verhindert. Masterpasswort ist unpraktisch.

    Beispiel: Mein Handy lasse ich mit meiner Smartwatch und anderen Geräten per BT automatisch entsperren wenn ich in der Nähe bin. Dritte können also schnell an die Passwörter, wenn ich mal in Reichweite auf dem Klo bin. Was ich nicht möchte, ist jedesmal ein Masterpasswort eingeben zu müssen, wenn ich ins Forum gehe. Wie einfach wäre es für Schadsoftware bei firefox an die Passwörter zu kommen im Vergleich zum IE, wo es meines Erachtens nicht so schöne Menüpunkte wie bei firefox gibt, was nicht heißt dass es sicherer ist.

  • Wenn ich sehe, wie leicht man bei firefox auf die Zugangsgangsdaten zugreifen kann, stellt man sich die Frage, wie schnell dies ggf. auch andere von außen können, FALLS es mal dazu kommen sollte und wie man dies verhindert.

    Wenn jemand Zugang zu deinem System hat, hat er nunmal auf alles Zugriff. Das hat mit Firefox überhaupt nichts zu tun.

    Masterpasswort ist unpraktisch.

    Dann weiß ich nicht, was du willst. Entweder willst du deine Passwörter schützen oder du willst es nicht. Und der Schutz durch ein Passwort (Master-Passwort) ist wirklich die einfachste umsetzbare Form eines Schutzes. Einen Fingerabdruck-Sensor haben die meisten Computer nicht, einen Umgebungs-Sensor ebenfalls nicht, 2FA wäre aufwändiger als die Eingabe des Master-Passworts. Viel mehr Möglichkeiten fallen mir nicht ein. Also wie genau soll deiner Meinung nach denn der Schutz erfolgen?

    Was ich nicht möchte, ist jedesmal ein Masterpasswort eingeben zu müssen, wenn ich ins Forum gehe.

    Du gibst das Master-Passwort ja auch nicht jedes Mal ein, sondern ein einziges Mal pro Firefox-Sitzung. Weniger geht wirklich nicht.

    Wie einfach wäre es für Schadsoftware bei firefox an die Passwörter zu kommen im Vergleich zum IE, wo es meines Erachtens nicht so schöne Menüpunkte wie bei firefox gibt, was nicht heißt dass es sicherer ist.

    Siehe oben, das hat mit Firefox nichts zu tun. Wenn eine Schadsoftware bereits Zugang auf dein System hat, hast du Probleme, die über Firefox hinausgehen. Denn dan kann die Schadsoftware bereits alles machen, was sie will. Zum Beispiel einen Keylogger installieren und einfach alles mitlesen, was du eingibst, einschließlich Passwörter, siehe Beitrag von Andreas.

    Deine Passwort-Datenbank kannst du aber durch das Master-Passwort zusätzlich schützen. Nur willst du das ja offensichtlich nicht, obwohl genau das ja deine Frage im Original-Beitrag war, ob die Passwörter mit einem Master-Passwort geschützt werden können.

    Ich glaube, dass du dir einer Sache nicht bewusst bist: Firefox soll die gespeicherten Passwörter für Logins auf Webseiten verwenden. Dafür muss Firefox auf die Passwörter im Klartext zugreifen. Anders würde das technisch überhaupt nicht funktionieren. Deswegen ist es ausgeschlossen, die Passwörter in einer Weise zu schützen, die nicht auch für einen Angreifer zurückführbar ist. Durch das Master-Passwort wird der Schutz aber abhängig von deinem Passwort. Mit deinem Passwort kann Firefox die Passwörter wieder entschlüsseln und ein Angreifer kann Gleiches nur tun, wenn er dein Master-Passwort kennt. Und deswegen ist es auch wichtig, dass es ein Passwort gibt, wenn du die Daten schützen willst.

  • Hallo Sören, mir geht es um das Verhindern und den einfachen Zugriff auf die Passwörter in Klarschrift, die man i.d.R. nicht sehen soll/kann. Ich dachte es gebe eine Lösung nur den Menüpunkt zu sperren, damit man diese Passwörter nur mit Passwortschutz in Klarschrift lesen kann. Bei jedem Start auf dem Handy oder auf dem PC ein Passwort einzugeben ist zwar nicht viel, aber ist nervig und wenn meine Frau mal was nachsehen will/muss braucht sie das Masterpasswort.

    Beispiel: Ich habe eine Exceldatei mit Passwörtern die keiner sehen soll und ich will ja dann nicht jedesmal Excel mit dem Passwort öffnen um mit Excel arbeiten zu können. Ja, meine Frau und mein Sohn darf am PC mit meinen Daten und in Foren arbeiten, soll aber nicht klar lesen können, welche Passwörter ich in Klarschrift nutze.

    Dieser Passwort ist keine Verbesserung für Schadstoffsoftware, aber ein kleinwenig besserer und auch ein Doppelschutz, dass man die Passwörter nicht ganz so einfach erhält.

  • Wenn es dir nur darum geht, dass man die Passwörter nicht im Klartext sieht, kannst du den Button und die Kontextmenüeinträge einfach per userContent.css ausblenden.

    Der Nachteil an dieser Methode ist, dass es dabei keinen Knopf gibt, um diese Maßnahme zu deaktivieren, der Code müsste halt wieder entfernt werden, wenn die Funktionen wieder da sein sollen. Aber der Vorteil ist, dass es sehr einfach umsetzbar ist:

    CSS
    #context-editusername + menuseparator, #context-copypassword, #context-editpassword, #togglePasswords { {
      display: none !important;
    }

    Falls das eine Option ist: Bist du damit vertraut und weißt, wohin mit diesem Code, oder brauchst du hierfür eine genauere Anweisung?

    Bedenke aber: Das ist nicht der einzige Weg an die Passwörter zu kommen. Sobald Firefox das Passwort auf einer Webseite ausfüllt, muss einfach nur über die Entwicklerwerkzeuge der Input-Type des Passwortfeldes geändert werden und man sieht das entsprechende Passwort auch wieder im Klartext. Oder man kopiert sich die Passwort-Datei aus deinem Firefox-Profil und fügt sie in einem anderen Firefox-Profil ohne Modifikation wieder ein. Oder man entfernt die userChrome.css-Datei aus deinem Profil.

    Wenn du einen wirksamen Schutz möchtest, der nicht ausgehebelt werden kann, sind wir wieder an dem Punkt, dass du ein Master-Passwort benötigst. Der vorgeschlagene Weg ist also nicht mehr als eine Hürde, versteckt aber zumindest den offensichtlichen Weg.

  • Verhindert aber auch nicht, das Lesen der Passwörter durch einfachen Import in einen anderen Browser.

    Chromebook Lenovo IdeaPad Flex 5 - chromeOS 122 (Stable Channel) - Linux Debian Bookworm: Firefox ESR 115.8.0 und Firefox Nightly, Beta und Main Release (Mozilla PPA), Android 13: Firefox Nightly und Firefox (Main Release)

    Smartphone - Firefox Main Release, Firefox Nightly, Firefox Klar (Main Release)

  • Hallo,
    genau das würde mir quasi ausreichen, denn die Passwortfunktion ist ja offentlich und bekannt bei firefox und natürlich auch sehr praktisch! Will halt nur verhindern, dass man zu leicht damit schindluder treiben könnte und der schlaue Nachbarsjunge oder wer auch immer vor dem PC sitzen könnte, das abgreift. Reiner und kleiner Doppelschutz ;) Nach der Diskussion werde ich aber grundsätzlich übetrlegen was ich noch speichere. Ganz ohne ist das definitiv nicht!!!!

    Wo muss ich den Code einfügen?
    Wie kann man das Lesen durch den Import in einen anderen Browser erreichen, wird ja immer interessanter?

    Vielen Dank für Eure Infos!!!!
    Gruß Chris


  • durch den Import in einen anderen Browser


    Einfach die benötigte Datei aus dem Profilordner vom Fx kopieren, und dann z.B. in einen anderen Firefox wieder einfügen.


    Wo muss ich den Code einfügen?


    Einzutragen in die userContent.css

    Sollte der Ordner chrome nicht vorhanden sein musst du ihn dir erst erstellen, und in ihm dann eine userContent.css
    Du mußt dir im Profilordner einen neuen Ordner chrome erstellen und in diesem dann eine Textdatei ( mit einem Editor ) in die du den Code kopierst, bzw. einträgst.

    Dann schließt du die Datei und speicherst sie als userContent.css ab.
    Danach mußt du den Fx neu starten.

    PS:
    Du musst dir dazu die versteckten Dateiendungen anzeigen lassen.

    Um das einzustellen klickt man im Windows 10 Explorer (wenn man einen Ordner offen hat) erst oben links auf Ansicht..dann rechts oben auf

    "Optionen" > "Ordner und Suchoptionen ändern" > "Ansicht"
    und entfernt das Häkchen bei "Erweiterungen bei bekannten Dateitypen ausblenden"

    Wo finde ich meinen Profilordner

    Eine genaue Beschreibung dazu befindet sich auch unter diesem Link ab Abschnitt 2.2:

    Anpassungen von Webseiten mittels userContent.css

  • Ich meinte nicht unbedingt den Import in einen anderen Firefox, sondern mehr den Import mittels der hauseigenen Funktion in z.B. Chrome, Opera oder Edge. Installiert man zum Beispiel Chrome neu und passt dabei nicht auf, werden Lesezeichen und Passwörter aus anderen Browsern automatisch importiert.

    Chromebook Lenovo IdeaPad Flex 5 - chromeOS 122 (Stable Channel) - Linux Debian Bookworm: Firefox ESR 115.8.0 und Firefox Nightly, Beta und Main Release (Mozilla PPA), Android 13: Firefox Nightly und Firefox (Main Release)

    Smartphone - Firefox Main Release, Firefox Nightly, Firefox Klar (Main Release)

  • Wie gesagt: Der Weg über userContent.css versteckt nur den offensichtlichen Weg. Deswegen schrieb ich das ja so deutlich. Selbst innerhalb von Firefox kommt man auch mit diesem Schnipsel noch an die Klartext-Passwörter. Nur ein Master-Passwort kann tatsächlichen Schutz gewährleisten. Ohne Master-Passwort führen verschiedene Wege nach Rom, mit CSS alleine kommt man da nicht aus.

  • Der beste Weg ist wohl noch für jeden Benutzer ein eigenes Benutzerkonto auf dem PC und nur dieser darf dieses benutzen. Wobei der findige Nachbarsjunge, mit Zugang zum PC einfach eine Live-Linux DVD startet und Windows somit einfach aushebelt. Dann einfach per Linux alle Partitionen mounten und schwupps kann man von jedem Benutzer alles erfahren. Hier würde dann nur ein BIOS-Passwort helfen.

    Chromebook Lenovo IdeaPad Flex 5 - chromeOS 122 (Stable Channel) - Linux Debian Bookworm: Firefox ESR 115.8.0 und Firefox Nightly, Beta und Main Release (Mozilla PPA), Android 13: Firefox Nightly und Firefox (Main Release)

    Smartphone - Firefox Main Release, Firefox Nightly, Firefox Klar (Main Release)