Mozilla-Konto/FF-Sync als Alternative zum PW-Manager

[DerSchalker92]

Hallo zusammen,

ich bin generell ein Freund davon, wenig verschiedenen Dienste/Software zu nutzen, weil ich es auch digital gerne ordentlich und aufgeräumt mag. In letzter Zeit habe ich mir darüber Gedanken gemacht, einen PW-Manager zu nutzen. Gleichzeitig nutze ich aber schon ein Mozilla-Konto in Verbindung mit Firefox-Sync. Es besteht ja auch die Möglichkeit, Passwörter zu synchronsieren. Ich habe mir daher die Frage gestellt, ob man nicht einfach das Mozilla-Konto zur sicheren Passwort-Synchronsierung nutzen kann. Meine Frage ist daher jetzt, wie sicher ihr dieses Setup einschätzt, wenn Folgendes eintrifft:

• Mozillas IT ist genauso sicher wie die des PW-Managers
• Das Mozilla-Konto ist mit 2FA abgesichert
• alle wichtigen Konten sind noch Mal mit 2FA abgesichert
• Ich benutzte nur eine handvoll Apps, deren Passwörter ich dann einspeichern/merken müsste

 

[kim88]

Klar geht das. Externe Passwort Manager haben halt ein paar weitere Vorteile und Funktionen gegenüber Browser Passwort Manager. Z.b. die Plattformunabhängigkeit - deine Passwörter sind mit einem externen Passwort Manager nicht nur in Firefox sondern in jedem Browser verfügbar.

Zudem können Passwort Manager z.b. auch die 2FA Codes direkt speichern ohne das man eine zusätzliche App benötigt. Sie können auch noch weitere Daten speichern (wie z.b. Identitäten: also Vorname Name, Adresse etc von verschiedenen Personen - wenn man ein Formular mit Adresse und Namen ausfüllen muss kann man direkt die entsprechende Identität auswählen) oder auch Kreditkartendaten.

Zudem haben viele PW Manager noch viele weitere Vorteile wie z.b. Integration in den SSH-Agent und Verwaltung von SSH Schlüsseln usw.

Die Frage ist halt ob du irgendwas von den zusätzlichen Funktionen brauchst oder haben wollen würdest - und ob es dir reicht nru in Firefox Zugriff auf die Passwörter zu haben. Diese Frage kannst aber nur du für dich beantworten.

 

[IT-Nadja]

Der Browser ist deine direkte Schnittstelle zum Internet und dein Browser wird mit unzähligen Methoden analysiert. Diese Methoden sind bereits extrem gut und werden immer besser. Google Analytics wird von nahezu allen Seiten verwendet und bilden die Grundlage für das Tracking und Fingerprinting.
Cookies werden standardmäßig ausgelesen und integrierte Werbung oder Drittanbieter (wie Facebook, Twitter, etc.) können dich durch die Buttons, welche die Seiten integrieren, auch verfolgen.
Auch deine Mausbewegungen und Tasteneingaben können getrackt werden! Die meisten großen Seiten machen dies bereits seit über 10 Jahren.

Ein Passwortmanager sollte unabhängig von deiner direkten Schnittstelle (dem Browser) zum Internet sein.
Besser ist ein Passwortmanager auf Grundlage von KeePass (z.B. KeePassXC), welcher die Passwörter offline und außerhalb vom Browser speichert.
KeePassXC bietet auch Passkeys an, falls du es möchtest.

Wenn du maximalen Komfort haben willst, kannst du auch das Firefox-Addon für KeePassXC installieren, sodass der Browser die Passwörter von deiner Datenbank laden.
Der größte Vorteil dabei ist, dass du nicht vom Browser abhängig bist und KeePass überall verfügbar ist. (Windows, Linux, Android, iOS, alle Browser, etc.)

Wenn du kein Addon nutzt, kannst du KeePassXC auch im Hintergrund laufen lassen und die Passwörter per Tastenkombination einfügen. Der Zwischenspeicher wird dabei automatisch gelöscht. (anders als bei normalem Copy&Paste)

Das sind die wichtigsten Hinweise, welche wir von unserer IT auch jährlich vorgetragen bekommen. Unser Abteilungsleiter war sogar selbst Senior Browser-Entwickler. Er sagt immer wieder, dass man Browsern nicht trauen darf.

Ein großes Thema, über das wenig berichtet wird, ist auch das "harvest now, decrypt later" Prinzip.
Verschlüsselte Dateien, unter anderem auch Datenbanken von Passwortmanagern, werden seit Jahren gespeichert und mit verschiedensten Algorithmen und auch KIs versucht zu entschlüsseln. Durch die geleakten Passwörter können viele Passwörter, für die man theoretisch Monate via Brute-Force brauchen würde, in wenigen Minuten bis Stunden geknackt werden, weil man oft nur die letzten 2-3 Zeichen via Brute-Force herausfinden muss und der Hauptbestandteil aus einer Passwortdatenbank durchprobiert wird.
Das eigentliche "harvest now, decrypt later" Prinzip ist aber, dass man auf Quantencomputer oder neue Methoden warten, um die angesammelten Daten in einem winzigen Bruchteil der Zahl in Serie zu entschlüsseln.
Die Konzerne, die an Quantencomputern bereits arbeiten, interessiert die Entschlüsselung von Dateien ganz besonders, weshalb das wohl der erste Einsatzbereich sein wird.

Das ist ein weiterer Grund, warum Passwort-Datenbanken vom Browser abgekoppelt sein sollten. Die Zugangsdaten in Passwortmanagern werden vermutlich über Jahrzehnte nicht gewechselt. Perfekt für Quantencomputer und das "harvest now, decrypt later" Prinzip.

 

[andy_m4]

Wenn du maximalen Komfort haben willst, kannst du auch das Firefox-Addon für KeePassXC installieren, sodass der Browser die Passwörter von deiner Datenbank laden.

Wobei man dazu sagen muss, das es die von Dir propagierte Trennung zwischen Passwort-Tresor und Browser natürlich aufweicht, weil man dann dann Kanal vom gefährdeten Browser zur Passwort-Datenbank schafft.

 

[IT-Nadja]

@andy_m4
Ein höherer Komfort geht oft mit geringerer Sicherheit einher.
Deshalb nutze ich das Addon auch nicht.

Unwichtige Zugangsdaten (wie mein ComputerBase Account) speichere ich aber auch direkt über den Browser. Bei einem Verlust kann ich ohne Schaden einen weiteren Account erstellt.
Online Banking Daten würde ich aber niemals im Browser speichern. Es empfiehlt sich sogar einen separaten Browser dafür zu verwenden, der nicht dieselben Addons hat, wie der "Hauptbrowser". Auch Addons können ein hohes Risiko darstellen. (für Social Media, KI, Textanalyse, Übersetzer, Spiele, Screen Scraping, etc.)

Man könnte es sogar auf die Spitze treiben und zwei Betriebssysteme auf zwei verschiedenen Geräten einsetzen. Wenn man bedenkt, dass heutige Spiele mit ihren Anti-Cheat-Maßnahmen und Analyse-Diensten genauso wie "kontrollierte" Malware / Trojaner arbeiten, sollte man den Spiele-PC vom produktiven System trennen.

 

[andy_m4]

Unwichtige Zugangsdaten (wie mein ComputerBase Account) speichere ich aber auch direkt über den Browser.

Ja. Das kann sogar ne sinnvolle Maßnahme sein so weniger wichtige Logindaten von Wichtigen zu trennen.

Es empfiehlt sich sogar einen separaten Browser dafür zu verwenden, der nicht dieselben Addons hat, wie der "Hauptbrowser".

Absolut. Idealerweise gibt man dem Browser sogar nur ein beschränkten Zugriff aufs Filesystem (nämlich das eigene Profil).

Auch Addons können ein hohes Risiko darstellen.

Ja. An der Addon-Sicherheit wurde ja viel gefeilt. Aber ja. Ich verwende auch nur wenige ausgewählte Addons.

Man könnte es sogar auf die Spitze treiben und zwei Betriebssysteme auf zwei verschiedenen Geräten einsetzen.

Ja. Das wäre natürlich eine sehr radikale Trennung. Wobei es dazu ja auch Kompromisslösungen gibt. QubesOS beispielsweise benutzt VMs, um verschiedene Benutzerrollen seamless voneinander zu isolieren.

sollte man den Spiele-PC vom produktiven System trennen

Ja. Da sagst Du was.