firefox auf mehrern Systemen - Sicherheit?

[larska]

Liebe Community,

ganz kurze Frage:
Ich nutze mein firefox Profil im Dual Boot, und bin quasi dauerhaft mit meinem firefox-Konto eingeloggt, damit es synchron bleibt...
Ist das grundsätzlich unsicher? Ich habe schon einige Passwörter im Browser (aus Bequemlichkeit) gespeichert...
die sensiblen sind ohnehin meisstens mit 2FA geschützt...

wie macht ihr das mit Passwörtern im Browser?

vielen Dank!

 

[:DD]

Ich speichere Passwörter gar nicht im Browser. Bei mir kommen die aus KeepassXC.

FirefoxSync läuft bei mir aber auch, damit bei Neuinstallation der Aufwand zur Neueinrichtung möglichst gering ist.

 

[DELIUS]

wie macht ihr das mit Passwörtern im Browser?

Ich speichere keine Passwörter im Browser, ist mir zu unsicher. Ansonsten Passwortmanager und bei sensiblen Seiten 2FA.

 

[PC295]

Ich nutze mein firefox Profil im Dual Boot, und bin quasi dauerhaft mit meinem firefox-Konto eingeloggt, damit es synchron bleibt...
Ist das grundsätzlich unsicher?

Grundsätzlich erstmal nicht. Die Passwörter selbst werden verschlüsselt synchronisiert und Verbindung selbst ist auch verschlüsselt. Man kommt also auch nicht an Zugangsdaten und Passwörter, wenn sich jemand in die Verbindung einklinkt.
Dafür musst du auch dein Firefox-Konto mit einen sicheren Passwort und 2FA schützen.

Letztendlich musst du darauf vertrauen, dass Mozilla tatsächlich eine solide Verschlüsselung verwendet und keinen Zugriff auf die synchronisierten bzw. im Mozilla-Konto gespeicherten Passwörter hat.

 

[JumpingCat]

Nur Bookmarks sowie Extension Liste sind im Sync. Keine Passwörter oder Cookies.

Ich folge dem Grundsatz das wenn das alles mal ausversehen öffentlich wird, dann ist es auch nicht schlimm.

 

[PC295]

Man kann mittlerweile weit mehr synchronisieren - auch Passwörter:
https://support.mozilla.org/de/kb/synchronisieren-von-zugangsdaten-firefox-desktop

 

[alyk.brevin]

eingegebene passwörter durchlaufen ja einige stellen, an denen sie abgegriffen werden können:
tastatur, tastaturkabel, usb-port, treiber, betriebssystem inkl zb antivirus, browser inkl addons, webseite inkl javascript, alle verbindungen zum server, server.
dazwischen hab ich auch sicherlich einiges vergessen.
die verbindung zwischen browser und server ist üblicherweise verschlüsselt, alle andren stellen eher nicht.

ein passwort im browser lokal zu speichern macht es verfügbar, auch wenn du es gerade nicht eingibst, also zb wenn das gerät geklaut wird und es nicht gesperrt ist.

ein passwort in einem passwortmanager macht es in der cloud verfügbar, zb wenn dein konto geknackt wird oder die datenbank ein leck hat. deshalb sollten solche passwörter vorher verschlüsselt sein. und ggf stellt man selbst die cloud, was durch fehlkonfigurationen aber auch wieder unsicher sein kann.

man muss also ständig an vielen stellen vertrauen, 100%ige sicherheit gibt es nicht.
ich persönlich vertraue meinem lokalen firefox und habe lokal meine passwörter gespeichert.
dem firefoxkonto würde ich eher vertrauen als einem googlekonto, aber bisher hab ich meine passwörter manuell übertragen. geschäftlich nutzen wir einen fremdgehosteten passwortmanager.

ob du vertrauen willst, musst du selbst entscheiden.
sowas könnte dir bei einer entscheidung helfen:
https://blog.mozilla.org/security/2017/07/18/web-service-audits-firefox-accounts/

 

[madmax2010]

ich habe vaultwarden laufen, das entsprechende plugin verbindet sich damit.

 

[dermoritz]

prinzipiell ist der Firefox Paswortmanager ähnlich sicher wie andere Manager oder der in Chrome. Nur dass hier es von der Sicherheit des pawworts für dein Firefoxkonto abhängt.

Wenn man sich dessen bewusst ist, ist es genauso sicher wie ein Paswortmanager (technologisch auch sehr ähnlich implementiert.)

 

[larska]

von der Sicherheit des pawworts für dein Firefoxkonto abhängt.

man muss sich aber nicht jedesmal neu einloggen, oder? ich bin automatisch eingeloggt...

 

[cookiie]

Du kannst in Firefox für dein Konto dort 2FA verwenden und - wenn ich mich nicht irre - ist das alles auch verschlüsselt mit einer Passphrase, die du exportieren kannst.

Kannst du alles so machen.

Ich würde trotzdem Bitwarden (oder Vaultwarden bei eigener Infrastruktur), Protonpass oder 1Password verwenden. Da bist du systemunabhängig und im Fall von Bitwarden ist der Quellcode sogar offen.

 

[dermoritz]

man muss sich aber nicht jedesmal neu einloggen, oder? ich bin automatisch eingeloggt...

natürlich nicht - wie auch bei einigen PW Managern. Firefox ist ähnlich sicher wie PW Manager. hat aber weniger Features.


TLDR
Wenn man das automatisches Login benutzt (was standard ist) - muss man nur bedenken, dass keiner außer dir an deinen Computer kann, oder du sperrst ihn und verwendest hier ein gutes Passwort. (zumindest können alle die Passwörter benutzen wenn dein Rechner nicht gesperrt ist - auslesen und kopieren ist nicht so einfach)
(Ähnlich wie bei einem Handy wo alle Sicherheit daran hängt wie schwer es ist zu entsperren)

 

[kkuhlemann]

Ich würde keine Passwörter speichern, es sei denn, mit einem geeigneten Tool gut verschlüsselt und etwas versteckt.

Mit dem gemeinsamen Profil gibt es m.E. ein anderes wesentliches Risiko: Es ist mir (als Nightly- und Beta-Nutzer, aber auch mit Final-Versionen) schon mehrfach vorgekommen, dass Firefox plötzlich ein Profil abgelehnt oder zerschossen hat.
Mit einem weiteren Profil kann man einfach umkopieren, mit nur einem Profil besteht die Gefahr, dass viele Browser-Daten einfach weg oder nur mühsam wiederherstellbar sind. Auch die Nutzung verschiedener FF-Versionen mit einem Profil macht immer Probleme. Die zusätzliche Sicherheit ist mir die Mühe wert, mehrere Profile aktuell zu halten.

 

[larska]

nur so als Ergänzung:
wenn ich mich auf einem neu installiertem System mit meinem firefox-Konto anmelde, werden ja alle Lesezeichen, Passwörter, etc. übertragen.
Was mir aufgefallen ist: neue Lesezeichen sind ohne Symbo angezeigt, erst nach dem ersten Öffnen ist das Symbol auch da...

ist das Ganze Konto/Profil danach auch lokal gespeichert, wenn ich mich aus dem Konto auslogge? D.h. ich könnte mein Profil danach auch lokal - ohne Anmeldung - übertragen?

 

[alyk.brevin]

ein lesezeichen besteht aus link+text. das symbol ist ein favicon, das der browser automatisch abholt, wenn er eine webseite besucht. das wird dann im browsercache gespeichert und im tab und lesezeichen verwendet (fav=favorite=lesezeichen).

ein lokales firefoxprofil kann man ex- und importieren:
https://support.mozilla.org/de/kb/firefox-profile-sichern-und-wiederherstellen
ob dabei auch der browsercache mitgenommen wird, hab ich jetzt nicht gefunden.

 

[Revolvermann01]

Ich bin seit gefühlten Ewigkeiten beim Firefox und nutze den für das Speichern meiner Paßwörter.
Die angebotenen "Paßwortmanager" sind größtenteils schon mal gehackt worden, also aus meiner Sicht nicht sehr vertrauenswürdig.

 

[MaverickM]

@Revolvermann01
Das "größtenteils" stimmt nicht. Außerdem ist mir kein Passwort-Manager bekannt, der den Vault nicht lokal verschlüsselt... Selbst wenn also Hacker Zugang zum Vault haben, ist er immer noch verschlüsselt. Ein ausreichend starkes Masterpasswort vorausgesetzt (Sollte man ja ohnehin haben) dürften deine Passwörter quasi sicher sein.