Firefox + Hauptpasswort + WebBrowserPassView - teilweise auslesbar -bin verwirrt

[ssddings]

Hallo, Ich habe hier Firefox mit mehreren Profilen und jeweils ein Hauptpasswort.
Das Default profil kann WebBrowerPassView bei mir immer auslesen. Ich habe schon mehrmals das Hauptpasswort geändet, ein Testpasswort geändet. WebBrowerPassView hat es immer angezegit.
ABER: Von den anderen Profilen werden die Passwörter nur angezeigt, wenn ich das Hauptpasswort lösche. Wenn ich es dort wieder setzte sind die Passwörter wieder da.

Kann nachprüfen ob das bei ihm auch so ist?

Woram liegt dieses so unterschiedliche Verhalten?

 

[Simanova]

Das Tool unterstützt maximal 1 Firefox Benutzer. Und liest das aktive Konto aus der Registry aus.

 

[ssddings]

sorry, das Tool unterstützt mehrere Profile. Einfach mal ein 2. Profil anlegen, ein Passworteintrag vornehmen und dann mit dem Tool und den Hauptpasswortern rumspielen ...

Ergänzung (10. Januar 2024)

Habe es mit einem 2. Rechner ausprobiert: Das default-Profil liest er trotz Haupt-Passwort.

Er kann auch LibreWolf Passworter lesen, wenn Passworter dort extra einrichtet werden , außer man vergibt ein Hauptpasswort. (Default Profil in LibreWolf habe ich nicht getestet). Mann muss dazu im Tool unter advanced options das entsprechende Profil-Verzeichnis von LibreWolf angeben.

 

[Evil E-Lex]

Wie verhält sich PasswordFox?

 

[ssddings]

PasswordFox verhält sich genau so. Hauptprofil ist immer lesbar (Hauptpasswort hin oder her), weitere Profile nur wenn kein Hauptpasswort gesetzt wurde. Einziger Unterschied WebBrowerPassView (ebenfalls von NirSoft!) liest alle Profile sofort, bei Passwortfox muss man den Folder des Profils angeben.

Man kann das Deauflt Profil in Firefox ändern. Das macht insofern keinen Unterschied, welches Profil er lesen kann. Die Passwörter des ältesten Profils werden trotz Hauptpasswort gezeigt, auch wenn es nicht mehr das Default profil ist-

Wie gesagt ich will den Unterschied verstehen

Ergänzung (16. Januar 2024)

---
Ufff:
Wegen:
https://support.mozilla.org/de/questions/1208548
habe ich jetzt probeweise key3.db umbenannt. Jetzt können beide Programme die Passwörter bei gesetzten Hauptpasswort nicht mehr auslesen.

Das ist jetzt zwar etwas besser, aber ich wüsste schon gerne warum beide Programme mit einer jahre alten key3.db (Dateidatum) die Passworter trotz Hauptpasswort lesen können.
Vertausenserweckend ist das nicht.

Ergänzung (16. Januar 2024)

-----
Ein paar Versuche weiter:
Wenn ich die key3.db in ein anderes Profil kopiere zeigt webpass... "tapfer" irgendwelche allerdings "gehäckselte" Benutzernamen und Passwörter zu den exsistierenden Einträgen an.

Ändere ich bei umbenanneten key3.db in Originalprofil das Hauptpasswort und benenne dann key3.db wiederum zurück, dann werden die Passwörter wie gehabt angezeigt.

Wie soll ich das verstehen? Kann es sein, dass Firefox bei Änderung des Hauptpasswortes die eigentliche Passwortdaten gar nicht neu verschlüsselt, sondern nur den Eigentlichen nur intern vorhanden Schlüssel neu mit dem Hauptpasswort verschlüsselt und diesen in key4.db ablegt, wobei die alte Version in key3.db unverändert bleibt?

 

[ssddings]

----
Das würde bedeuten, wenn ein Angreifer erst mal in Besitz des internen Schlüssels zur Firefox-Passwortdatei ist, dann nützt diesem Angreifer gegenüber auch nicht das Ändern des Hauptpasswortes, weil ja der interne Schlüssel sich ja nicht verändert.
Hefen würde demnach nur ein Umzug der Passwörter in ein neues Firefox-Profil mit einem Hauptpasswort

 

[Evil E-Lex]

Es ist seit Ewigkeiten bekannt, dass das Hauptpasswort von Firefox keinen vollständigen Schutz bietet. Die sinnvolle Alternative ist die Nutzung eines Passwortmanagers.