Hallo zusammen,
ich habe eine tiefergreifende Frage zum Thema KeePassXC und was genau KeePassXC besser macht als der integrierte Passwortmanager Firefox Lockwise.
Mike hatte mal geschrieben, dass z. B. eine Browser-Schwachstelle oder bösartiges AddOn genügt um die Passwörter trotz Hauptpasswort auszulesen.
Gilt das aber nicht auch für KeePassXC? Dieses AddOn könnte doch genauso gut eine Schwachstelle haben mit der alle Passwörter ausgelesen werden könnten?
Vielen Dank fürs Aufklären 
Ausschließlich auf den laufenden Betrieb bezogen, und vereinfacht:
Wenn die Passwort-Datenbank entschlüsselt ist, gibt es nicht mehr viel was die Passwörter schützt - ob sich das bei Firefox zeitlich begrenzen lässt, oder sich diese wieder von dir schließen lässt, kannst du selbst nachschauen, bei Interesse daran.
Vor allem ist es das System, welches die Speicherbereiche verschiedener Prozesse voneinander abschirmt, sofern das nicht überwunden wird, ist KeePassXC so ziemlich unangreifbar - die „extra Optionen“ zur Kommunikation mit anderen Prozessen und dem herunterladen von Icons, das installieren modifizierter Versionen, Trojanerbefall, hochladen der Datenbank trotz unsicherem Passwort (oder überhaupt), und ähnliches, z.B. Hardware Sicherheitslücken, ausgeblendet.
In den zuerst genannten Funktionen könnten potenziell Fehler vorhanden sein, der Rest bezieht sich grundsätzlich auf die System-integrität/-sicherheit und das Verhalten bezüglich sicherheitskritischer Anwendungen/Dateien.
Nur kommunizieren, im Kontrast zu oberen, die Firefox Prozesse untereinander, wovon wieder andere - als hoffentlich jene(r) in den(en) Lockwise läuft - z.B. nicht vertrauenswürdigen Code von Webseiten ausführen, Internetzugriff besitzen, etc. und führen eher komplexeren Code aus als KeePassXC.
Die Sandbox hier hervorzuheben wäre auch eher leichtsinnig finde Ich, so häufig wie aus diesen bereits ausgebrochen wurde, und sicherlich noch weiterhin wird - das Risiko sollte man für (zumindest wichtige) Passwörter einfach nicht eingehen.
Eventuell erwähnenswert: Lockwise verwendet JavaScript, was für sicherheitskritische Anwendungen eher verpönt ist, auch wenn es vermutlich „best practices“ dazu umsetzt.
Inwiefern das problematisch ist, kann Ich dir nicht sagen, da Ich die Sicherheitsarchitektur von Firefox und diesen selbst, samt der Lockwise Implementierung nicht ernsthaft überprüfe.
Da das AddOn für KeePassXC mit der Software kommuniziert, und diese schlussendlich immer noch über Datenübertragungen zum AddOn bestimmt, halte Ich das Risiko für geringer. Auto-Type ist vermutlich bezüglich Sicherheit zu präferieren, aber da ein kompromittierter Browser sowieso die in diesen eingegebenen Passwörter abschnorcheln könnte…
KeePassXC ist demnach schlüssiger für alle anderen Passwörter, und wenn du KeePassXC deshalb sowieso schon nutzt, sehe Ich keinen Vorteil von Lockwise gegenüber KeePassXC mit dessen Browser-Erweiterung, ohne diese Erweiterung schätze Ich bei Lockwise auch noch auf eine erheblich größere Angriffsfläche (im Vergleich), und ein größeres Angriffsrisiko.
Vermutlich ist es auch noch bequemer, die Passwörter in einer Anwendung zu managen, und dann die Passwortdatenbank(en!) ordentlich zu synchronisieren, anstelle von „Firefox Sync“-Kram ohne Interoperabilität.
Vielen Dank für deine ausführliche Antwort und Erklärung, D299.
Dann kann man im Grunde vereinfacht sagen, dass die KeePassXC-Datenbank etwas besser geschützt ist, da sie vom Browser (und Internet/interne FF-Prozesse) „weiter weg“ abgetrennt ist und somit weniger Angriffsfläche bietet, richtig?
Ich gehe dann stark davon aus, dass das AddOn die Passwörter von der Datenbank verschlüsselt übertragt?
Weißt Du wie lange dann die Datenbank von KeePassXC geöffnet ist?
ob sich das bei Firefox zeitlich begrenzen lässt, oder sich diese wieder von dir schließen lässt, kannst du selbst nachschauen, bei Interesse daran.
Wo könnte man das denn sehen wie lange die Passwort-Datenbank entschlüsselt ist?
Die Einstellungen dazu findest du unter Tools => Settings => Security
Sofern du die Auto-Type Funktion benutzt wird quasi deine Tastatur Eingaben emuliert was du normalerweise selbst eingeben würdest an der Tastatur. Daher ist Auto-Type zu bevorzugen. Wenn du per copy & paste dein Passwort aus KeePassXC überträgst, liegt dein Passwort ansonsten in der Zwischenablage.
Verstehe, vielen Dank euch
Ja (früher gab es auch ein Addon bei dem die Daten unverschlüsselt zum Browser übertrugen wurden, aber das wurde wohl ganz entfernt, nachdem eine Zeit lang ein Warnhinweis eingeblendet wurde).
Das Addon lässt sich, finde Ich, übrigens gut zwischen Auto-Type und Zwischenablage einordnen, sofern dort keine schwerwiegende Lücke klafft, was Ich bezweifel.
Außerdem hat es auch einen netten Nebeneffekt, da die Passwörter bei dem Passwortmanager mithilfe der Domain der Webseite angefragt werden. Dadurch also indirekt die Domain geprüft wird, da, wenn es eine Phishing-Seite mit leicht anderer Domain ist, kein Passwort für diese gefunden werden kann, und eine Verbindung der Domain mit einen Passworteintrag angefragt wird - was einen wiederum stutzig machen, und zum prüfen anregen sollte. 
… moment, wurde von media-floppy diese Frage beantwortet, aber die zu Firefox’ Passwortspeicherung zitiert?
In den Fall… bezüglich Firefox’ Passwortspeicherung (wonach auch gefragt wurde): nach etwas rumspielen damit und ein wenig einlesen: die Datenbank wird bei Firefox nicht wieder geschlossen, bis der Browser beendet wurde. Einstellungen habe Ich für kaum irgendetwas gefunden. Ganz allgemein kann man dort sehr wenig eintragen und konfigurieren.
Ich würde alleine deshalb schon ausschließlich zu KeePassXC raten, da man dort immernoch weitere Daten sicher zu den Webseiten speichern kann (manchmal sinnvoll).
Zusätzlich ist bei Firefox für Jeden, der Zugriff auf die logins.json erhält, offensichtlich für welche Webseiten Passwörter wann eingespeichert, geändert, zuletzt genutzt(!?), und wie oft genutzt(?!) wurden. Weniger kritisch, da Passwort und Nutzername hoffentlich durch Passphrase verschlüsselt sind, aber es gibt dort auch noch zwei Arrays für potenziell schwache Passwörter, und „verworfene Datenreichtums-Alarme“ samt IDs.
Das mag für einige Leute nicht weiter problematisch sein, könnte in bestimmten Situationen aber problematische Informationen beinhalten, und ernsthafte Konsequenzen haben.
Vielen Dank für deine ausführliche Erklärung. Finde ich super und hilft sehr weiter 