Hallo Forum!
Benötigt man unbedingt einen Passwort-Manager wie XKeePass oder bietet der Passwort-Manager in Firefox ausreichend Schutz, wenn das Master-Passwort gesetzt wurde?
Viele Grüße!
Hinsichtlich der Tatsache das dein Browser nun mal immer Verbindung zum Internet hat, würde ich dir Grundsätzlich empfehlen wollen Passwörter nicht im Browser zu speichern. Meine Gedanken gehen da in Richtung möglicher Bugs. Die hat zwar auch andere Software aber wie bereits erwähnt wegen immer Internet…
Im Bezug auf Privatsphäre und Datensicherheit zeichnet sich Firefox (in der Standardinstallation) nicht unbedingt aus. Erst durch entsprechende Add-ons und einer gepflegten user.js (z.B. aus dem Privacy-Handbuch wird dieser Browser nutzbar.
Hier in diesem Forum sind eine Menge Leute unterwegs die sich wirklich gut mit diesen Themen auskennen. Aber ich würde mich wundern wenn Dir einer dieser Leute empfiehlt den Firefox als Passwortmanager zu nutzen.
Meine Meinung ? Meine Passwörter und/oder deren Speicherung/Verwaltung gehören nicht in fremde Hände sondern nur auf meinen Rechner/Server…
Vielen Dank für die eure Antworten! Dass heißt also, das Risiko, dass die Passwörter wegen Sicherheitslücken im Browser ausgelesen werden ist größer als aus einem externen Passwortmanager?
Ist das auch der Fall, wenn im Browser das Master-Passwort verwendet wird?
Und was ist im Fall von Trojanern oder spionierenden Webseiten, können die Passwörter in Passwortmanagern nicht erfassen?
Zu dem Risiko mit der Verbindung zum Internet: Auch Passwortmanager sychronisieren doch ebenfalls über das Internet - das gar nicht zu verwenden, wäre schon ein erhebliche Einschränkung des Nutzens eines Passwortmanagers. Ich weiß, dass quasi jede Verbindung mit dem Internet ein gewisses Risiko darstellt, aber ist die Sychronisation mit einem Passwortmanager ein absolutes No-Go? (Daten für Onlinebanking speichere ich übrigens nie und gebe sie immer manuell ein)
Sieh es mal so: der PW-Manager von Firefox kann PW von Firefox in Firefox speichern. Nicht mehr und nicht weniger. Ein unabhängiger PW-Manager kann auch sonstige PW, Infos, Secrets … speichern und ist damit deutlich flexibler. Um den Firefox-PW-Manager zu öffnen benötigst du … Firefox. Hast du einen ‚gscheiden‘ PW-Manager kann die erzeugte Datenbank auch mit anderen Programmen, unabhängig vom aktuell genutzten Programm, geöffnet und bearbeitet werden. Ja sogar unter einem anderen Betriebssystem ist die Datenbank dann zu benutzen. Stichwort: *.kdbx
So du deine PW unbedingt in Firefox speichern willst, kann ich dir nur zwingend ein Master-PW empfehlen. Ohne das, und kommt jemand an dein Firefox-Profil, deinen Rechner, deinen Zugang…, hat er damit auch deine PW von Firefox.
Mmmh, schwierig. Ein Leak im Ökosystem „Browser“ (ich spreche der Einfachheit halber mal nur von Firefox, weil der hier der einzig produktiv genutzte ist) und eine entsprechende Veröffentlichung würde binnen kürzester Zeit die Runde machen. Und ich vertraue den Mozillas insoweit das sie wirklich viel dafür tun gerade diesen Bereich des Browsers besonders im Auge zu behalten. Aber es ist Software und die wird von Menschen programmiert. Die wiederum mit anderen Menschen interagieren. Die letzten Jahre haben hoffentlich hinreichend gezeigt das es nicht nur Probleme im Quellcode sein müssen die zu Leaks führen (Stichwort: Social Engineering).
Gleiches gilt natürlich für die Devs von PW-Managern.
Anderer Blickwinkel: wie lange bist du täglich mit deinem Browser(n) im Internet unterwegs? Ein paar min, ein-zwei Stunden, den ganzen Tag bzw. rund um die Uhr? Und im Gegensatz dazu: wie lange hast du einen PW-Manager offen? Genauso lange? Ich nicht. Muss ich mich irgendwo anmelden, öffne ich den PW-Manager, lass die Zugangsdaten eintragen und dann mach ich ihn entweder manuell zu oder er schließt sich nach ein paar sek von selbst.
Wer ist also einem erhöhten Risiko aus dem Internet angegriffen zu werden ausgesetzt?
Warum sollten PW-Manager über das Internet synchronisieren und warum sollte das eine ‚Einschränkung des Nutzens‘ darstellen? So einfach ist das nicht 
Hier kommt es auf das Gesamtkonzept bzw. das von dir erdachte Bedrohungsmodell an. Komponenten dabei sind: OS, PW-Manager, Sicherungskonzept, Netzwerkinfrastruktur, Backups der PW-Datenbanken etc.
Ich nutze Keepass auf dem Rechner, synchronisiere im lokalen Netzwerk auf das Smartphone (Keepass2Android Offline), erstelle verschlüsselte Backups die wiederum auf USB-Sticks, Festplatten liegen.
Ich komme damit gut klar und benötige nicht zwingend den Umweg übers Internet, Server, Cloud o.ä.
Das gilt nicht pauschal für alle Passwortmanager. Es gibt immer noch Passwortmanager die man auch über das eigenen WiFi synchronisieren kann…
Meine persönliche Lösung zum Thema Passwortmanager sieht wie folgt aus:
- Ich benutze Vaultwarden (kostenlose Bitwarden Version).
d.h. Meine Passwörter sind nicht irgendwo im Netz, sondern auf meinem eigenen Server. - Gesynct wird nur über Wifi im eigenen Netzwerk.
Auf meinen mobilen Geräten (IOS) läuft ebenfalls die offizielle Bitwarden-App. Gesynct wir auch hier nur von Zeit zu Zeit im eigenen Wifi.
Geöffnet werden alle Apps (mobil und lokal) mit Nutzername, Passwort und, wenn man will, mit einer 2-Faktor-Authentifizierung; wobei es hierfür mehrere Möglichkeiten gibt. Ich nutze meinen Yubikey hierfür.
KeePassXC hat keine eigene Synchronisierungsfunktion. Der User selbst entscheidet, ob er manuell, über Cloud oder im eigenen Netzwerk synchronisiert. Jede Möglichkeit Dateien zwischen zwei Geräten abzugleichen kann auch für die kdbx-Datenbank verwendet werden.
Es obliegt Dir abzuwägen welcher Weg zu Dir passt. I
Ich nutze seit Jahren Mikes Vorschlag der Komination aus keepasscx und ‚lokaler Syncthing Synchronisation‘.
Funktioniert für mich hervorragend.
1 „Gefällt mir“
Ich will immer zu bedenken geben, dass jeder PW-Manager besser ist als gar keiner.
Ohne es zu wissen, glaube ich auch, dass eine Seite und damit ein Passwort kompromittiert wird höher ist als dass der PW-Manager abhanden kommt.
Somit sind alle anderen Zugänge noch geschützt und ein neues Passwort bei bekannt werden des Vorfalls schnell erstellt.
Ich selbst nutze auch Vaultwarden auf dem eigenen Server.
Synchronisation ist für mich wichtiger als letzter der Funke Sicherheit. Gerade bei geteilten Zugängen.
1 „Gefällt mir“
Danke nochmal für alle eure Antworten! Eine Frage hat sich mir noch so grundsätzlich gestellt: Wozu benötigt man eigentlich zwingend ein Master-Passwort (egal ob Firefox oder KeePassXC (da geht es ja nicht ohne) (,Vaultvarden habe ich noch nicht ausprobiert), wenn man den PC alleine benutzt und außer dem ungewöhnlichen Fall eines Einbrechers niemand Zugang hat? Schützt es auch gegen Angriffe aus dem Internet?
Zwingend ist das Masterpasswort bei KeePassXC nicht direkt soweit ich weiß. Es müsste auch eine Schlüsseldatei reichen.
Eine ungeschützte Datei ist, auch wenn du sie mit einem Passwortmanager erstellst, immer noch eine ungeschützte Datei. Ohne Masterpasswort können deine Passwörter nicht verschlüsselt werden, somit kann alles, was auf deine Dateien am PC zugreifen kann, sie auch lesen. Ein Virus o. ä. der Zugriff auf deinen PC erhält, kommt so also auch an deine Passwörter heran. Da braucht es keinen physischen Zugriff.
1 „Gefällt mir“
Solange du eine Schlüsseldatei verwendest ist das richtig, wenn auch nicht empfohlen. Ohne Schlüsseldatei ist es allerdings vorgeschrieben.
1 „Gefällt mir“
Ich verwende den Firefox PW-Manager mit einer 30-stelligen mit Diceware erstellten Master-pw Passwortphrase und halte das für ausreichend sicher. Hat man die oft genug eingetippt, geht das auch flott von der Hand. Theoretisch denkbar wäre, dass ein Sicherheitslücke dafür sorgt, dass das Masterpasswort umgangen wird, was aber extrem unwahrscheinlich ist. Im übrigen ist der Firefox „gehärtet“ mit ublock, canvasblocker, jshelter user.js etc. Separat habe ich auch Keepass-XC im Einsatz, der mir aber für den Browser-Gebrauch bisher zu umständlich erschien.
Alleine das man mit dem Tool Process Hacker die in Web-Browsern gespeicherten Passwörter und Cookies im Klartext im Arbeitsspeicher auslesen kann sagt mir das man keine Passwörter in Web-Browsern speichern sollte.
Quelle:
Extrahieren von Klartext-Anmeldeinformationen direkt aus dem Speicher von Chromium (cyberark.com)
Die Anzahl der Zeichen ist bei Diceware übrigens nicht entscheidend. Es kommt allein auf die Anzahl der Wörter an, die zusammengewürfelt werden.
Danke für den Hinweis. Das ist ein ernst zu nehmender Einwand. In dem beschriebenen Fall handelt es sich ja um den Chromium, ich fürchte allerdings, das gilt für den Firefox ebenso, denn Arbeitsspeicher bleibt Arbeitsspeicher. Ich werde mich also nochmals mit der Browser-Integration von Keepass-XC beschäftigen.
Da ich die ganze Problematik nur teilweise überschaue, stelle ich daher mal die naive Frage, wie wahrscheinlich es ist, dass jemand Zugriff auf meinen Arbeitsspeicher bekommt, der ich prinzipiell keine riskanten Webseiten aufrufe? Und ob es eine Rolle spielt, dass mein System Web-Seiten über den lokalen DNS-Server unbound (raspberry) aufruft, was nach meinem Verständnis die Angriffswahrscheinlichkeit verringert…
Ich habe es vor 2 Monaten in den Web-Browsern Google Chrome, Microsoft Edge und Firefox nachstellen können.
Also momentan sind das 6 Wörter mit im Schnitt 5 Zeichen. Nach Deinem Hinweis wären also 7 Wörter mit sagen wir ungefähr genauso vielen Zeichen besser? Dafür müsste man allerdings eine ganze Zeitlang würfeln, bis man das hinbekommt. Sonst hat man noch mehr Zeichen zu tippen.
Sorry zu deiner zweiten Frage:
Nehmen wir an du betreibst ein ungepatches System oder es liegt eine ZeroDay Schwachstelle vor, bzw. es existiert ein Innentäter welcher Zugriff auf dein System hat. Das auslesen mit dem Process Hacker Tool dauert nur 60 Sekunden und sollte es einen entfernen Angreifer gelingen Zugriff auf dein System zu erhalten sind Benutzername, URLs und die Passwörter sehr zügig ausgelesen welche dem entfernten Angreifer neue weitere Angriffsziele ermöglicht.
VG
1 „Gefällt mir“
Danke für Deine ausführliche Beurteilung.
-
Zu meinem System: Qubes OS mit getrennten Maschinen für Email, Browser etc. und nahezu täglich gepatchtem Fedora 36. Allerdings Browser bleibt Browser und man kann die Sicherheitslatte sehr hoch legen und trotzdem ist man im Netz angreifbar. Man kann den Firefox auch in einer Wegwerf-Maschine (Disposable) starten, dann ist man sicher, aber man hat dann auch keine passwörter und bookmarks etc., lediglich ublock und noscript werden mitgeladen.
-
Zero Day: dagegen ist kein Kraut gewachsen.
-
Innentäter scheidet aus, kein Täter hier außer mir.
Mein Fazit: Passwörter im Browser sind ein Risiko alleine wegen 2.
Also, danke für das kurze Tutorium , Keepass-XC ist angesagt.
1 „Gefällt mir“