Passwörter im Browser speichern - wie (un)sicher?

[EmmaL]

Hallo, ich wollte mal fragen wie sicher das Speichern von Passwörtern im Browser, z.B. Firefox ist? Das ist ja schon praktisch, aber ich frage mich, ob Viren, Schadsoftware etc. auslesen können, oder ob die wirklich sicher sind? Danke

 

[thrawnx]

Keine Sicherheit. Wer auch immer dein Windows Logon PW kennt, kann sie angucken/auslesen

 

[EmmaL]

Ok, aber ich meine nicht die Leute die um mich herum sind und an meinen PC können.

 

[thrawnx]

Naja was dann? Wenn dich jemand mit Malware infiziert, bist du eh fu****
Password Manager sind genauso unsicher, falls du einen Keylogger hast.

Das Beste was du tun hast ist dir einen E-Mail Account bei einem Anbieter zu erstellen wie Fastmail, Startmail etc. und Masked/Alias Emails anlegen für jede Seite wo du registriert bist. Natürlich auch für jede Seite ein eigenes Passwort. Gegen einen gezielten Angriff mit Malware die Keylogger beinhaltet/nachlädt nützt das auch nichts, aber es schützt gegen Leaks/Hacks der Websites, die ja am häufigsten Daten kompromitieren

 

[Nilson]

Durch das verwenden verschiedener Passwörter auf verschiedenen Seiten hast du so oder so einen Sicherheitsgewinn.
Wenn, dann würde ich die ganzen Passwörter dann aber in einer eigenen Lösung speichern. Selbst wenn das per se nicht unbedingt sicherer ist, so sind die meisten Lösungen Plattformübergreifend und du kannst die gespeicherten Passwörter auch in anderen Browser oder auf dem Smatphone abrufen.
Zusätzlich wo es geht 2FA aktivieren, als zweite Sicherheitsebene.

 

[Nickel]

@TE, ich fühle mich da ziemlich sicher und speichere alle Passwörter im Firefox,
ausser welche wie fürs Online Banking, Paypal, ect ...

 

[thrawnx]

Naja, ob du dich sicher fühlst hat recht wenig damit zu tun ob du sicher bist....

@TE Guck dir mal 1Password an + Fastmail, sind beide miteinander verlinkt, kosten aber halt Geld (und das nach dem shitty SaaS Model). Ansonsten wie gesagt Startmail.com, kostet auch Geld, ist aber billiger als Fastmail und EU based.

 

[Nickel]

Bisher war ich es, viele Jahre.
Internet ist nicht sicher.

 

[thrawnx]

Ne warst du nicht, du bist nur einfach nicht wichtig genug als dass dich jemand gezielt angreift, wie die meisten von uns. Großer Unterschied!

 

[Blende Up]

Keine Sicherheit. Wer auch immer dein Windows Logon PW kennt, kann sie angucken/auslesen

FF verschlüsselt und sichert das Ganze mit einem eigenen Passwort. Allein Windowszugang wird dann also nicht reichen.

 

[thrawnx]

Ich weiss, da war aber noch nicht klar ob er auch lokale Gefahren meint.

 

[cartridge_case]

Keine Sicherheit. Wer auch immer dein Windows Logon PW kennt, kann sie angucken/auslesen

Das ist falsch. Es reicht physischer Zugriff. Ein Passwort von Windows schützt auch 2022 noch keine Daten!

FF verschlüsselt und sichert das Ganze mit einem eigenen Passwort.

Wenn man ein Master-Passwort nutzt!

 

[thrawnx]

Das ist falsch. Es reicht physischer Zugriff. Ein Passwort von Windows schützt auch 2022 noch keine Daten!

Was denkst du denn was gemeint war? Natürlich dass jemand sein Windows entsperrt und einfach die PW anguckt... Und wenn FF es von sich aus überhaupt nicht encrypted, ist das nicht auf physischen Zugriff beschränkt, da Malware auch Daten wegmoven kann übers Inet

 

[cartridge_case]

Natürlich dass jemand sein Windows entsperrt und einfach die PW anguckt...

Nein, das steht nirgends. Wenn das Dingen geklaut wird, liegen die Daten offen.

 

[RalphS]

Die sind zumindest besser geworden. Gab ja auch mal Zeiten, da war das einfach Klartext.

Dennoch bleibt bei "den meisten" (vermutlich eher "allen"....) ein Cloud-Backend. Da hat man sein Einfallstor. Ob das jetzt ein extra cloudgestützter PW-Manager war oder ein browsereigener.... meh.

Nennen wir's Schlangenöl? 🤷‍♀️

Vor allem vor dem Hintergrund, daß die bloße Existenz eines Passworts für einen Service schon ein Problem darstellt, nämlich exakt über den jeweiligen Anwender. Besser(tm) wäre wohl ein Hardwaretoken wie yubikey (allerdings aufgebohrter) wo es keine Passwörter als solches mehr gibt, sondern nur noch ein Challenge-Response-System oder ein Ticketsystem auf Basis von X.509 oder Kerberos. Oder irgendwas anderem natürlich.

 

[Konfekt]

Ich glaube, es geht ihm darum, ob FF die gespeicherten Zugangsdaten irgendwie verschlüsselt, oder praktisch im Klartext in den Tiefen seiner Ordner ablegt, so dass z.B. Seite www.halloichklauepasswörter.banoi diese Zugangsdaten auslesen könnte, oder im Zweifel eine Anwendung auf seinem Rechner.

Soweit ich weiß, zumindest steht das so in der offiziellen FF Doku, werden Zugangsdaten verschlüsselt in FF abgelegt. Wie stark und sicher dieser Verschlüsselung ist, keine Ahnung.

Davon unabhängig sind freilich Themen wie Keylogger, andere physische Nutzer des Rechners, Trojaner, etc...

Aber Du kannst erst einmal davon ausgehen, dass Deine in FF gespeicherten Zugangsdaten NICHT irgendwo als eine Klartextliste herumfliegen. Wäre auch eine echte Sauerei

 

[kieleich]

Soweit ich weiß, zumindest steht das so in der offiziellen FF Doku, werden Zugangsdaten verschlüsselt in FF abgelegt. Wie stark und sicher dieser Verschlüsselung ist, keine Ahnung.

Wenn du Firefox kein Passwort geben musst sondern der sich das selbst entschlüsselt dann ist es, für jederjemand mit Zugriff und Know-How, wert los

Ansonsten hängt es an der Sicherheit/ Komplexität/ Entropie des gefragten Passwortes

 

[Konfekt]

Wenn du Firefox kein Passwort geben musst sondern der sich das selbst entschlüsselt dann ist es, für jederjemand mit Zugriff und Know-How, wert los

Ansonsten hängt es an der Sicherheit/ Komplexität/ Entropie des gefragten Passwortes

Ich vergaß das Masterpasswort, falls das dafür relevant ist.

 

[Blende Up]

Wenn du Firefox kein Passwort geben musst sondern

Ich KANN ein Master-Passwort vergeben, und gut ist. Ich muss nicht müssen müssen. Und wenn ich das nicht mache, dann benötige ich diese Sicherheit wohl nicht.