ComputerBase Menü
Aktuelles

Firefox Passwörter

BFF schrieb:
Passt dennoch nicht.
Zum Vergrößern anklicken....
Was meinst du?

BFF schrieb:
Ich denke eher, dass FF das OS einfach nur nach einer Authentifizierung des Benutzers fragt (Passwort oder Pin oder was immer die Defaulteinstellung ist) und wenn das OS sagt "Ja stimmt" der FF den Safe aufmacht.
Zum Vergrößern anklicken....
Das bezweifel ich, denn dann wären die Passwörter ja im Klartext abgespeichert. Sowas ging noch vor 10 Jahren durch (Windows Credential Manager war afaik ziemlich lange unsicher), aber sowas ist heutzutage zum Glück nichts mehr was sich eine Firma wie Mozilla trauen würde bzw. erlauben könnte.

BFF schrieb:
Wenn dem so waere wuerde das OS in den FF eingreifen.
Zum Vergrößern anklicken....
Wie meinst du das? -> FF hat einen Safe, der mit einem Master-Passwort gesichert ist. Dieses Passwort wird verschlüsselt im Windows-Safe gelagert, welcher wiederum unter Verwendung des Win-Passworts gesichert ist.
Wenn ein Nutzer jetzt auf seine FF Passwörter zugreifen will fragt FF bei Windows das Master-Passwort an. Windows wiederum fragt beim Nutzer das Passwort ab und wenn alles stimmt erhält FF von Windows sein Master-Passwort.
 
BFF schrieb:
Kurzer Zwischenstand.
Kein passwortloses W10, sprich es wurde das Passwort des lokalen Benutzers auf nix gesetzt, danach angemeldet und ein Passwort gesetzt. Dann FF gestartet.

Um die gespeicherten Kennwoerter im FF (ohne FF Masterpassort) zu sehen, ist nur das gerade verwendete Windowspasswort noetig. Voellig egal ob es das Passwort ist was beim Speichern der Credentials verwendet wurde.

BFF
Zum Vergrößern anklicken....

Was im Umkehrschluss bedeuten könnte, dass ein mit z.B. Hirens Boot CD zurückgesetztes Win10 Userpasswort vom Angreifer neu gesetzt werden kann um dann alle FF Passwörter (ohne Masterpw) abzufragen.
Die Funktion scheint der Einfachheit nach interessant zu sein, aber eben auch ein falsches Sicherheitsgefühl zu erzeugen.
Ob das auch funktioniert wenn noch ein MS-Profil Passwort angelegt/genutzt wird weiss ich aber nicht. Also ob trotz Online-Profil Passwort noch ein Zugriff mit einem Lokalen User PW funktioniert. Falls ja wäre diese Methode katastrophal und ein Rückschritt vom bisherigen Masterpw
 
@BeBur
Es passt nicht, dass das Windows Login Passwort benutzt wird um im FF irgendwas zu verschluesseln. ;)

Anyway.
Lies mal ganz genau was ich getippt habe. Mehrfach geschrieben ohne Masterpasswort vom FF.

FF fragt das OS (die Windows Security) das der Benutzer sich zu authentifizieren hat. Wenn die Methode Passwort ist, hat der das Passwort zu tippen. Ist die Methode der PIN hat der den PIN zu tippen.

1588864947547.png


Gibt die Windows-Security zurueck das alles passt, macht FF den Safe auf.
Mehrfach getestet. ;)

Anyway.
Wenn kein FF Masterpasswort gesetzt ist, ist es unter Umstaenden ein leichtes an die im FF gespeicherten Credetials heran zu kommen.👍

BFF
Ergänzung ()

CyrionX schrieb:
Ob das auch funktioniert wenn noch ein MS-Profil Passwort angelegt/genutzt wird weiss ich aber nicht. Also ob trotz Online-Profil Passwort noch ein Zugriff mit einem Lokalen User PW funktioniert. Falls ja wäre diese Methode katastrophal und ein Rückschritt vom bisherigen Masterpw
Zum Vergrößern anklicken....

Noch nicht getestet aber ich denke das es moeglich auch dann an die Daten des FF zu kommen wenn ein Online-Account benutzt wurde. Es ist "recht einfach" einen Online-Account zu einem Lokalen zu machen und dann sich damit anzumelden. Dieses Szenario teste ich mal am Wochenende. :D

Ich denke die Macher vom FF sollten einfach mehr darauf hinweisen, dass ohne FF-Master-Kennwort es immer irgendwie moeglich ist auf die gespeicherten Credentials zu kommen wenn es der Angreifer schafft sich als "der Benutzer" anzumelden.
Und ja. Der von vielen verpoente Online-Account bzw. die alternativen Hello-Anmeldemethoden machen es dem Angreifer schwerer bis unmoeglich an den Account zu kommen.

BFF
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: CyrionX
BFF schrieb:
Anyway.
Lies mal ganz genau was ich getippt habe. Mehrfach geschrieben ohne Masterpasswort vom FF.
Zum Vergrößern anklicken....
Das ist ein Missverständnis. Du meinst ein vom Nutzer gesetztes Masterpasswort. Ich meinte ein automatisch generiertes Masterpasswort.

FF generiert ein MasterPW, schickt das an Win10 und Win10 verschlüsselt das unter Verwendung des WinPW.
Wenn der User jetzt bei FF auf die Passwörter zugreifen will, dann holt FF sich das Masterpasswort aus der Win10 Vault zurück. Dieses bekommt FF aber nur, wenn der Nutzer sein WinPW eingibt.

CyrionX schrieb:
Was im Umkehrschluss bedeuten könnte, dass ein mit z.B. Hirens Boot CD zurückgesetztes Win10 Userpasswort vom Angreifer neu gesetzt werden kann um dann alle FF Passwörter (ohne Masterpw) abzufragen.
Die Funktion scheint der Einfachheit nach interessant zu sein, aber eben auch ein falsches Sicherheitsgefühl zu erzeugen.
Zum Vergrößern anklicken....
FF wird die DPAPI verwenden (mir war bis gerade der Begriff entfallen :D).
Siehe hier: DPAPI and Password Changes
Wenn du das Passwort händisch zurück setzt, dann hast du danach keinen Zugriff mehr auf die Vault.
 
  • Gefällt mir
Reaktionen: CyrionX
Ahh..
Jedoch, d.h. bei einem zerschossenen Windows käme man so nicht mehr an die FF Pws heran? (Ohne eigenes masterpw)
Soll heissen auch wenn man windows mit selbem Nutzernamen und PW neuinstalliert?
Soll keine Schlussfolgerung sein sondern eine Frage basierend auf bisherigen Erfahrungen
 
Probier es doch aus. @CyrionX
Kopiere den Profile-Krams aus dem FF auf einen anderen PC wo ein anderer lokaler Benutzer existent ist mit anderem Passwort. Wenn Du dann die gespeicherten Passwoerter lesen kannst, ist es so wie ich schreibe. FF nutzt nur das Windows fuer die Abfrage das der Benutzer angemeldet ist. Wenn Du die Passworter nicht bekommst, ist der FF nicht mehr portable/backupfaehig. ;)

Ahja, portable FF. Noch ein Ding zum Testen fuers Wohenende. :D
Wie verhaelt es sich da @BeBur
 
Liegt natürlich nahe ich habe aber erst in 2 Wochen wieder mehrere PCs hier herumstehen :p
Ausserdem finde ich, dass es sich widerspricht, dass sich ein portable firefox an unterschiedlichen PCs öffnen lassen soll, aber nicht mit zurückgesetztem Win Passwort. Letzteres sollte dann nämlich für FF auch wie ein anderer PC wirken, spätestens wenn man den lokalen Benutzernamen ändert
 
BFF schrieb:
Ahja, portable FF. Noch ein Ding zum Testen fuers Wohenende. :D
Wie verhaelt es sich da @BeBur
Zum Vergrößern anklicken....
Keine Ahnung, aber ist auch alles "afaik". Ist jetzt nicht so, dass ich da super tief drin stecke und viel Erfahrung habe. Und ich habe leider keine guten Infos zu FF Lockwise / DPAPI u.ä. gefunden.

Könnte mir vorstellen, dass das WinPW mit der Win Lizenz gesalzen wird, das ist jetzt aber wirklich nur geraten.
 
Eigentlich braeuchte man ein paar Leute zum Mittesten. ;) @BeBur @CyrionX

-> Portable FireFox
-> (kein gesetztes Masterpasswort fuer gespeicherte Credentials, das ist ja Default)

Ich hab unter W10 (Benutzername ist BFF) im tragbaren FF Zugangsdaten zu einer Webseite gespeichert.
Dann den FF geschlossen und den Ordner des FF auf eine W7 kopiert mit einem Konto was anders heisst (BlahBlah) und natuerlich auch ein anderes Passwort hat. FF gestartet, dann in den Einstellungen zu den gespeicherten Zugangsdaten. Ja klar. Die gespeicherte Seite wird da brav angezeigt.

1588883477458.png


Ein Klick auf das Auge bringt die Abfrage des Accounts.

1588883584525.png

Schnell mein 123-Passwort da rein und "Hasta la Vista baby" sehe ich das verwendete Passwort.

1588883698306.png


Also absolut easy an die gewuenschten Daten ran zu kommen wenn kein MASTERPASSWORT im FF gesetzt wird. Ausflug zu Ende beim tragbaren FF.

-> lokal installierter FF
-> (kein gesetztes Masterpasswort fuer gespeicherte Credentials, das ist ja Default)

Auf einem W7 einen FF installiert. Der lokale Benutzer heisst immer noch nicht BFF und das Passwort ist anders als das des BFF unter W10. Unter W7 einmal den FF gestartet, damit das lokale FF-Profil angelegt wird. Danach das lokal gespeicherte FF-Profil von W10 ueber das lokal gespeicherte Profil des FF im W7 kopiert.
Die Einstellungen geoeffnet, dann zu den gespeicherten Zugangsdaten.
Tadaa! Exakt Selbiges wie auch beim tragbaren Firefox.
Nach Eingabe des Passwortes des lokalen W7-Accounts sehe ich das gespeicherte Passwort.

1588884714953.png


Meine Schlussfolgerung.

Wenn die gespeicherten Zugangsdaten nicht extra durch das Masterpasswort des FF geschuetzt sind, ist es ein leichtes an die gespeicherten Zugangsdaten ran zu kommen.
Das ist voellig unabhaengig von lokalen Passwort oder Benutzerkonto, weil der FF in diesem Fall nur abfragt ob der Benutzer der das gespeicherte Passwort angezeigt haben will auch das lokale Windowspasswort richtig eingetippt hat. Nicht mehr und nicht weniger.

Den ganzen Krams mit Online-Account "wandeln" um sich anzumelden etc. spare ich mir.
Das Verhalten des FF wird gleich sein.

BFF
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: BeBur und CyrionX
nach Eingabe des Passwortes des lokalen W7-Accounts sehe ich das gespeicherte Passwort.
Zum Vergrößern anklicken....
Welches Pw, das des aktuellen windows-users oder des Erstellers des externen eingefügten FF profils?

So klingt es nämlich fast so, als ob man damit das PW des Profils eines anderen PCs mit einem anderen PC auslesen könnte. Will das aber nicht glauben können, du meinst sicher das PW des aktuellen users oder? (was ja schon schlimm genug wäre)
 
Es ist/reicht das Passwort des momentan angemeldeten Benutzers @CyrionX
Oder halt der PIN oder das Gesicht. :D

Das ist das was ich in den Posts vor meinem Test meinte.
FF schreibt nix in das Windows und Windows macht nix mit dem FF.

CyrionX schrieb:
als ob man damit das PW des Profils eines anderen PCs mit einem anderen PC auslesen könnte.
Zum Vergrößern anklicken....

Braucht man garnicht. ;)

BFF
 
Zuletzt bearbeitet:
Hallo zusammen !

Kann man diese nervige Passwortabfrage abstellen ? ich muss mich nicht vor mir selber schützen ...

Viele Grüße
 
BFF schrieb:
Also absolut easy an die gewuenschten Daten ran zu kommen wenn kein MASTERPASSWORT im FF gesetzt wird.
Zum Vergrößern anklicken....

Also genau das, was mir aufgefallen ist. Die Passwortabfrage ohne Masterpasswort ist damit zumindest in der portablen Version sinnlos. Eigentlich noch schlimmer; sie lässt den User eine Sicherheit empfinden, die nicht gegeben ist. Dann doch lieber gar nichts und nur das Masterpasswort anbieten, zumindest portabel.
 
Zuletzt bearbeitet von einem Moderator: (Nach nochmaligem Lesen nachgebessert.)
  • Gefällt mir
Reaktionen: BFF
Pannemann schrieb:
Kann man diese nervige Passwortabfrage abstellen
Zum Vergrößern anklicken....

1588889634253.png

Ergänzung ()

onesworld schrieb:
Die Passwortabfrage ohne Masterpasswort ist damit zumindest in der portablen Version sinnlos.
Zum Vergrößern anklicken....

Die Abfrage des "Windows-Passwort" ist auch in der installierten Version voellig sinnlos, weil das blanke Kopieren des FF-Profiles durch einen Angreifer auf sein System den "Schutz" aushebelt.
Voellig Schnuppe ob Du lokal Password, PIN, Fingerabruck etc. verwendest. Der FF fragt auf dem System die Default-Methode an. Im einfachsten Fall u.U. garnicht weil das OS den Mechanismus nicht unterstuetzt oder das OS den Benutzer ohne Passwort hat.

https://support.mozilla.org/de/kb/lockwise-authentifizierung-bei-passwort-zugriff

1588889944828.png


Das sollte Mozilla besser kommunizieren solange kein Masterpasswort per Default gefordert wird.
 
Zuletzt bearbeitet: (ergaenzt/typo)
Oha. Das ist interessant.
Hypothese: Das liegt daran dass der Win7 Safe nicht sicher ist oder noch kein DPAPI hatte und unter win10 macht FF das dann richtig.
Weiß aber nicht ob das so hinkommt, jdfs gibt es sichere vault unter Windows noch nicht so schrecklich lange.
 
Sich über Security zu echauffieren und dann noch Win7 zu nutzen ist auch schon bissel ....

PS: Chrome macht das schon lange so und es funktioniert gut. (Da hat man auch nicht solche Probleme, dass man nicht mehr ran kommt, weil die eh übern Google-Account gehen.)
 
GroMag schrieb:
Sich über Security zu echauffieren und dann noch Win7 zu nutzen ist auch schon bissel ....
Zum Vergrößern anklicken....

Hast Du ueberhaupt mitbekommen das es ein Test ist? Abgesehen ist ein vollgepatchtes W7 in einer netzwerklosen VM ja sowas von unsicher. 😎


BeBur schrieb:
Hypothese: Das liegt daran dass der Win7 Safe nicht sicher ist oder noch kein DPAPI hatte und unter win10 macht FF das dann richtig.
Zum Vergrößern anklicken....

Du kannst das erbeutete FF Profil auch unter W10 mit einem beliebigen Benutzer plus passendem Passwort/Pin etc. auswerten. Oder halt mit Linux oder MacOS.

Wie gesagt.
Ohne Masterpasswort ist das Ganze nicht sicher.
 
Zuletzt bearbeitet:
BFF schrieb:
Du kannst das erbeutete FF Profil auch unter W10 mit einem beliebigen Benutzer plus passendem Passwort/Pin etc. auswerten. Oder halt mit Linux oder MacOS.
Zum Vergrößern anklicken....
Eine Hypothese wäre, dass FF ohne Masterpasswort unter Win7 nicht verschlüsselt, aber unter Win10 die DPAPI verwendet. D.h. ein Test wo man unter Win10 das Profil initial erstellt und PWs abspeichert wäre interessant... :D.
Also das sobald man ein Profil unter Win7 erstellt, dieses Profil dann in einem "Legacy" Modus läuft was die Passwörter angeht. Hypothese, wie gesagt xD.
 
Dir gehen die “Ausreden” aus. @BeBur 😂

Mach den Test selbst.
Ich habe, fuer meinen Fall mit dem FF, fertig. 😎
 
  • Gefällt mir
Reaktionen: BeBur
BFF schrieb:
Ohne Masterpasswort ist das Ganze nicht sicher.
Zum Vergrößern anklicken....
Das ist doch gegenüber den Vorgängerversionen nichts neues. Kaum jemand hat ein Masterpasswort gesetzt.

Im Übrigen ist das auch nicht Ziel des neuen Verhaltens:

Diese Funktion wird nur von Windows und macOS 10.12+ unterstützt. Sie ist nicht als Schutz vor versierten Angreifern gedacht, die direkt vor Ort Zugriff auf Ihren Computer haben.
Zum Vergrößern anklicken....
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Dino93
Firefox Passwörter in KeePass übertragen
Antworten
4
Aufrufe
2.413
Dino93
Dino93
H
Mobiler (Android) Firefox - Passwörter ohne Cloud (Sync) exportieren?
Antworten
9
Aufrufe
1.749
konkretor
konkretor
90210
Firefox Passwort Export komische Zeichen ?
Antworten
1
Aufrufe
735
kartoffelpü
K
B
Firefox Passwörter importieren als csv Datei
Antworten
7
Aufrufe
4.296
User007
User007
derchris
Die Passwörter-Ändern Odyssee
Antworten
7
Aufrufe
648
chrigu
chrigu
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz