Im Browser gespeicherte Passwörter. Eure Meinung.

[Brati23]

Moin,

Früher hatte ich alle meine Passwörter auf einem USB-Stick mit Keepass drauf.
Das wurde mir aber mit der Zeit zu nervig immer den Stick wieder zu verbinden. Also habe ich alle Passwörter ausser Mail und Bank im Browser (Firefox) hinterlegt. Eigentlich könnte ich die ebenfalls da 2FA drauf aber egal. 2FA ist neben "Hirn an" meiner Meinung nach zur Zeit eh einer der besten Schutzmechanismen.

Zurück zum Thema. Im Browser speichern oder nicht?
Ab und an habe ich von Keepass oder ähnlichem als Browser-Plugin gelesen.
Da sehe ich aber den Vorteil ausser der Browserunabhängigkeit nicht ganz.

Was sind denn Browserspezifische, realistische Szenarien im denen die Passwörter "gestohlen" werden könnten? 2FA im Browserkonto ebenfalls aktiv.
Ich meine damit nicht Keylogger und co. Die würden auch mit Keepass abhanden kommen.

Erfahrungsgemäss reichen die Meinungen von "niemals viel zu unsicher" bis "mache ich auch so" Würde mich trotzdem interessieren wie Ihr es löst.

Grüsse Brati

 

[DickerPirat]

Kurz: Nein
Passwörter sind offline sicherer.
Dein Browser ist direkt an der Front zum "bösen" Internet. Browser werden bereits extrem gut getrackt. Deine Cookies, Verlauf, Auflösung, wohin dein Cursor zeigt, wie lange du eine Seite betrachtest, die schnell du scrollst, usw. Das alles erfasst man bereits seit Jahren. Die Passwörter direkt "an der Front" zu speichern, ist unsicherer als sie offline außerhalb des Browsers zu halten.
Das heißt auch, dass man Passwörter niemals in einer Cloud speichern sollte! Nicht mal "nur kurz, um es woanders herunterzuladen".

Passwörter speichere ich in KeePassXC. Wenn ich mich einloggen muss, logge ich mich in KeePass ein, klicke auf das Benutzername/Passwort-Feld, dann auf "Auto-Ausfüllen" in KeePass.
Auf meinem Smartphone ist es ähnlich.
Die Übertragung erfolgt via Kabel oder USB-C-Stick.
Natürlich müssen die Betriebssysteme, auf denen die Datenbank der Passwörter liegt, verschlüsselt sein. Auf dem PC ist es VeraCrypt, da Bitlocker und Co. unsicher sind.

 

[CoMo]

2FA im Browserkonto ebenfalls aktiv.

Was ist ein "Browserkonto"?

Ich speicher die unkritischen Passwörter alle in meinem Browser. Einfach, damit ich die nicht ständig aus meinem Passwort-Manager kopieren muss.

 

[BeBur]

Was sind denn Browserspezifische, realistische Szenarien im denen die Passwörter "gestohlen" werden könnten? 2FA im Browserkonto ebenfalls aktiv.

Gibt es im Prinzip nicht, falls du ansonsten ein Browser-Plugin verwenden würdest, mit dem das Plugin den Keepass Safe auslesen kann. Generell ist der Browser ein zentrales Fenster zum Internet. Wirklich kritische Sicherheitslücken sind dementsprechend aber auch sehr, sehr selten. In the wild erinnere ich mich gerade nur an solche, welche von 'state actors', konkret China ausgenutzt wurden um z.B. die Uiguren auszuspionieren.

 

[M@rsupil@mi]

Unkritische / belanglose Sachen, wie Foren, im Browser. Rest in Keepass.

Hat auch den angenehmen Nebeneffekt, dass ich gar nicht erst auf die Idee komme mit 1-2 Klick sporadisch mal eben schnell was zu kaufen. Erfordert immer mehrere Schritte und die KP-Entsperrung.

 

[CoMo]

Erfordert immer mehrere Schritte und die KP-Entsperrung.

Keepass ist bei mir im Autostart und fragt mich schon beim Hochfahren nach dem Passwort. Alles andere wäre viel zu umständlich, ich brauche das ja zig mal am Tag. Alleine schon für die 2FA Codes. Außerdem ist es auf Windows mein SSH-Agent.

 

[IlluminatusUnus]

Ich speichere unkritische Passwörter (eigentlich alle außer E-Mail und Banking) im Browser. Habe die im Browser aber mit Windows-Hello geschützt. Keine Ahnung ob das was bringt.

 

[PC295]

Im Browser speichern oder nicht?

Ob du sie jetzt in Browser oder in einem separaten Programm speicherst macht vom Prinzip her keinen Unterschied. Denn die gängigsten Browser verwenden hierfür ebenfalls einen verschlüsselte Datenbank.
Die werden meist (wie bei Chrome) auch an das Windows-Nutzerkonto gebunden, dass heisst, dass auch niemand Zugriff auf die Passwörter erlangen kann, wenn der den Profil-Ordner des Browsers kopiert und auf einem anderen Rechner verwendet.

Andersherum aus der Sicht eines Passwortmanagers ist es ja auch nicht sicherer, wenn die Passwortdatenbank ständig geöffnet ist, weil du die Passwörter regelmäßig brauchst oder die Datenbank per Plugin/Erweiterung direkt an den Browser angebunden ist.

Und wenn der Browser löchrig ist und Passwörter aus Eingabefeldern ausgelesen werden können, bietet dir ja ein Passwortmanager wie Keepass nicht mehr Schutz. Denn die Passwörter werden im Klartext in die entsprechenden Felder in den Browser kopiert.

Von daher halte ich solche Passwortmanager für überflüssig.

 

[Brati23]

Danke für Eure Antworten.
Dann werde ich es weiterhin so handhaben und Mail sowie Bank "offline" lassen und den Rest im Browser Passwortmanager.
2FA ist ja oft auch noch im Weg.

Was ist ein "Browserkonto"?

Das Browser-Konto in dem die Einstellungen, Passwörter usw. gespeichert sind. In meinem Fall das Firefox-Konto.

 

[andy_m4]

Und wenn der Browser löchrig ist und Passwörter aus Eingabefeldern ausgelesen werden können, bietet dir ja ein Passwortmanager wie Keepass nicht mehr Schutz.

Bietet er im Prinzip schon.
Wenn der Browser exploited wird steht ihm nicht nur das gerade übertragene Passwort offen, sondern prinzipiell alle Passwörter.

Denn die gängigsten Browser verwenden hierfür ebenfalls einen verschlüsselte Datenbank.

Das schützt nur gegen Angriffe "von außen". Der Browser selbst muss ja drauf zugreifen können.
Ergo: Wird der Browser exploited, steht potentiell die ganze Datenbank im Zugriff.

Aber ja. Externe Passwort-Manager haben auch ein paar Drawbacks. Verwendet man ein Browser-Plugin zum Zugriff auf den Passwortmanager, dann hebt man die Trennung zwischen Browser und Passwortmanager auf. Überträgt man die Passwörter auf anderem Wege, kann das auch gefährlich sein. So was wie Zwischenablage oder auch emulated Keytyping kann von anderen laufenden Prozessen mitgelesen werden. Wobei, wenn der Rechner eh verseucht ist, machts kaum noch einen Unterschied.

Wenn mans richtig(!) macht, bleibt unterm Strich ein Sicherheitsvorteil Browser und Passwortmanager zu trennen.

 

[Oli_P]

Ich speicher die unkritischen Passwörter alle in meinem Browser. Einfach, damit ich die nicht ständig aus meinem Passwort-Manager kopieren muss.

Du kannst Keepass im Hintergrund laufen lassen und wenn du dich irgendwo einloggen willst, machst du einen "Autotype". Dann musste nicht mehr die Daten umständlich aus der Datenbank rauskopieren und irgendwo wieder einfügen. Total lästig und unkomfortabel (hab ich früher auch so gemacht). Und das schöne ist, du brauchst nix weiteres als Keepass um "Autotype" nutzen zu können. Kein Plugin, kein Browser-Addon Das einzige was ist, "Autotype" muss man für jede Seite einrichten. Aber die Einstellungen speichert man dann hinterher.