Zu viel Verwirrung: Mozilla entfernt den Passwort-Schutz aus Firefox

Erst in der vergangenen Woche hat Mozilla ein neues Sicherheits-Feature in den Firefox-Browser integriert. Damit werden gespeicherte Passwörter besser geschützt. Da die Funktion bei einigen Nutzern für Verwirrung ge­sorgt haben soll, wurde ... mehr... Sicherheit, Sicherheitslücken, schloss, Abus, Kette Bildquelle: John Dierckx / Flickr Sicherheit, Sicherheitslücken, schloss, Abus, Kette Sicherheit, Sicherheitslücken, schloss, Abus, Kette John Dierckx / Flickr

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Eine Verbesserung die wirklich mal bei allen Browsern nötig wäre ist die Möglichkeit Logins an mehrere Domains zu knüpfen und auch Teilpassworte für 2FA zu hinterlegen.
Aber ich fürchte mal daß das wieder viel zu kompliziert wäre.
 
@Johnny Cache: Wieso ein Login für mehre Domains? Bei mehreren Domains hat man doch auch mehrere Accounts und somit (hoffentlich) mehrere Passwörter etc.
 
@FensterPinguin: Leider haben wir in unserem (un)professionellen Firmenumfeld zig unterschiedliche Sites auf denen wir unsere AD-Credentials einsetzen, aber immer manuell eingeben müssen. Da SSO sowieso nicht kommen wird wäre es schon nett wenn man die nur einmal speichern und ändern müßte.
Mir ist jedenfalls noch kein Addon bekannt mit dem sowas möglich wäre, oder?
 
@Johnny Cache: LastPass kann das.

In den Konto-Einstellungen (Web-Vault) gibt es einen Punkt namens "gleichwertige Domains". Dort einen Eintrag mit allen Domains anlegen, für die die gleichen Zugangsdaten gelten.
 
@max06.net: Danke, aber anscheinend handelt es sich dabei um einen Web-basierenden Dienst, was selbstverständlich vollkommen inakzeptabel ist, gerade im Firmenumfeld.
 
@Johnny Cache: Das muss jeder für sich selbst wissen. Ich setze Lastpass schon seit mittlerweile 8 Jahren ein, auch im Firmenumfeld, und habe es bisher nie bereut. Allerdings sind meine Umgebungen auch so gestaltet, dass außerhalb des Netzwerkes das Passwort nutzlos ist.
 
@Johnny Cache: ich kann Dir KeePass ans Herz legen. Ist Open Source und man kann sich wirklich alles zusammen konfigurieren. Falls was fehlt, in der großen Plugin-Sammlung findet sich sicher eine Lösung. Man kann selber entscheiden, wo die Datenbank gespeichert wird.
 
@Talkabout: Wie Talkabout schrieb ist KeePass der ultimative Passwort-Manager. Der beinhaltet alles was das Herz begehrt, allen voran aufgrund der riesigen Plugin-Sammlung.

EDIT: Sorry, war an Jonny Cache gerichtet. ^^
 
@Johnny Cache: Wie Talkabout schrieb ist KeePass der ultimative Passwort-Manager. Der beinhaltet alles was das Herz begehrt, allen voran aufgrund der riesigen Plugin-Sammlung.
 
@Ryou-sama: Eine Touch-Freundliche App unter Windows wäre wünschenswert. Für Edge und andere Chromium-Browser gibt es Tusk, aber eine standalone-App wäre wünschenswert.
 
@Johnny Cache: Vielleicht ein eigener lokaler Bitwarden Server?
Sonst halt KeePass, da muss sich um Synchronisation selber gekümmert werden
 
@FurRail: Vielen Dank für den Tipp! Ich habe mir jetzt lokal einen Bitwarden Server installiert und finde diese Lösung sehr gut. Vor allem die verschiedenen Apps/Plugins sind der Hammer. Praktisch jedes BS/Device wird unterstützt. Vor allem wenn man vorhat auch anderen Familienmitgliedern die Möglichkeit einzuräumen, Passwörter zu speichern, ist diese Lösung wirklich gut. Muss sich jetzt noch im Alltag behaupten, ich bin aber guter Dinge.
 
@Johnny Cache: Eigtl kann das fast jeder Passwort-Manager außer den im Browser integrierten.
Nutze selber Enpass. Das sollte auch firmenkompatibel sein, weil man es sowohl mit als auch ohne Synchronisation der Passwörter nutzen kann. Und auch mit Sync, läuft das nicht über einen Dienst des Herstellers sondern über den Clouddienst deiner Wahl. Durch Integration allgemeiner Protokolle wie z.B. WebDAV kannst du den Passworttresor auch über ein Netzlaufwerk im Unternehmen synchronisieren. Der Tresor selber wird immer lokal verschlüsselt und erst dann auf der Festplatte gespeichert bzw auf den zur Sync benutzten Speicher geladen.

Es gibt für Enpass Browsererweiterungen für alle gängigen Browser, und du kannst jedem Passworteintrag beliebig viele URL-Fehler hinzufügen. Gegen die alle wird dann beim automatischen Eintragen gematcht.
 
@mh0001: Scheint alles komplizierter zu sein als ich das gerne hätte, aber ich werde mir das mal ansehen.
 
@FensterPinguin: Ein Beispiel ist z.B. Amazon. Da kannst du Amazon.com, Amazon.de, Amazon.co.uk, oder auch unter smile.amazon.de unter verschiedenen Domains mit dem gleichen Account anmelden.
 
@Johnny Cache: bei 2FA geht es gerade darum nicht PW und zweiten Faktor auf einem Gerät zu haben ;)
 
Moment Fernzugriff? Wieso hat Mozilla Fernzugriff auf die Clients?
Gibt es überhaupt noch eine Softwareschmiede, der man trauen kann?

Oder ist das falsch ausgedrückt und es handelt sich eigentlich nur um ein Update?
 
@FensterPinguin: war auch mein erster Gedanke. Könnte bitte mal jemand meinen Pulsschlag wieder runterbringen?
 
@FensterPinguin: Ist jetzt nicht allzu ungewöhnlich, dass gewisse Funktionen von den Entwicklern zentral ein- und ausgeschaltet werden können
 
@FensterPinguin: Es ist ein Fernzugriff. Dabei wird eben ein Befehl an den Browser geschickt, der eine Funktion deaktiviert. Diese Möglichkeit gibt es bei jedem Browser und das eigentlich schon immer!
 
@FensterPinguin: Firefox fragt in regelmäßigen Abständen auf den Mozilla-Servern nach, ob sich an seiner Funktionsweise etwas ändern soll. Und wenn eine Änderung dort hinterlegt ist, lädt der Browser ein Script oder einen Befehl runter und führt es oder ihn aus.

Fernzugriff würde bedeuten, dass jemand aus der Ferne auf den Rechner zugreift. Und um ehrlich zu sein, wäre das erstens ein Desaster und zweitens auch bei dem kleinen Marktanteil von Mozilla im Browsermarkt überhaupt nicht durchführbar.
 
@Hanni&Nanni: Durchführbar wäre es schon, unterschätze nicht die Kraft von Rechenzentren. Dass es ein Desaster wäre, stimmt allerdings vollkommen.

Dass der Browser nach Hause telefoniert, macht es zwar etwas besser, ist aber trotzdem eigentlich nicht tragbar und erinnert an das Verhalten von Botnetzen mit ihrem Controllserver.
 
@Hanni&Nanni: Mozilla kann, ist ab Werk auch aktiviert, verschiedene Funktionen und Ideen, bevor diese allen Firefox-Nutzern zur Verfügung gestellt werden, bei einzelnen zuerst ausprobieren.
https://support.mozilla.org/de/kb/shield-de?as=u&utm_source=inproduct
 
Zum Glück nutze ich Keepaas, dieser Vorgang wirft bei mir einige Fragen auf. Dem Bugreport entnehme ich, dass der entsprechende Konfigurationsschlüssel, der gesetzt wird, "signon.management.page.os-auth.enabled" heißt (auch als Info für die Kommentarleser, falls jemand Lust hat den Wert manuell in about:config zu ändern).

Da stellt sich mir aber die Frage, was das für ein Schutz sein soll. Wenn ich also an einem fremden Rechner die Passwörter einsehen möchte, während der User nicht am Platz ist, müsste ich auch nur den o.g. Wert ändern? Das ist doch kein Schutz, dann brauche ich das Passwort ja gar nicht! Und wenn man ihn aus der Ferne ändern kann, kann man ihn auch lokal ändern.

Ich habe kein Windows zur Hand um das auszuprobieren, aber wenn eine Anwendung ein Windows-Passwort-Prompt anfordert, dann würde ich vermuten, dass sie damit irgendeinen Key aus dem Kryptostore des OS holt oder so mit dem die Passwörter tatsächlich verschlüsselt sind. Aber wenn sie sich nur ein "OK" holt, dessen Check man auch ohne Passwort ausschalten kann, dann ist es gut, dass sie das Feature streichen, denn für mich ist das vorgetäuschte Sicherheit.
 
@dpazra: das Benutzerpasswort unter Windows/macOS/Linux ist doch an sich schon vorgetäuschte Sicherheit, man kommt ja trotzdem mit einem bootfähigen Stick rein...
 
@mieze1: Weiß nicht wie es bei MacOS ist, aber der Ubuntu Installationsassistent lässt dich direkt dein Homeverzeichnis verschlüsseln. Und die Passwörter dienen ja auch der Sicherheit z.B. beim SSH-Login (auch wenn da natürlich RSA-Keys bevorzugt sind), wo kein physischer Zugriff verfügbar ist.

Aber klar, ohne Verschlüsselung, bei physischem Zugriff sind auch die Userpasswörter alleine keine gute Sicherheitsmaßnahme.
 
@dpazra: unter Windows ist zumindest in der Home-Version die Verschlüsselung gar nicht eingebaut, und für den durchschnittlichen User ist gar nicht ersichtlich, dass das überhaupt unsicher ist
 
@mieze1: Doe Win-Verschlüsselung kann ich eh nicht empfehlen..
 
@mieze1: Schon ohne Bitlocker kommst Du mit nem Bootstick nicht so einfach an die Daten, die in den Nutzerprofilen liegen ran (aber ja, möglich ist es). Spätestens wenn Bitlocker aber aktiviert ist, hast Du keine Chance mehr!

Grundsätzlich dienen die Konten auch nur dazu, dass verschiedenen User wie Geschwister oder Paare etc. nicht einfach an die Daten der anderen gelangen können, ohne ein gewisses Maß an krimineller Energie aufbringen zu müssen. Sie dienen nicht zum Schutz vor Hacker, Dieben etc. Dafür gibt es andere Mechanismen und das ist eigentlich in jedem OS ziemlich identisch.
Ach und ja, von einem Bootstick booten um dann an Daten von anderen zu kommen gehört schon dazu und ist übrigens strafbar.
 
Schade, ich hätte diese Funktion wirklich gerne in Fx, denn eine Authentifizierung per TouchID oder Apple Watch ist halt wesentlich komfortabler.
 
Fernzugriff? Bitte was?
 
@Fritzler: Wäre die Frage zu stellen, ob jenes fernabschalten für so manchen Masterpasswort vergessen Habenden die letzte und einzige Rettung war, wieder dran zu kommen .. ? ;-)
 
@DerTigga:
ganz egal wie oft ein fernzugriff jetzt gängige praxis ist:
was hindert in diesem fall den entwickler daran ein stinknormales update nachzuschieben in dem dieses problem gefixt wird?
ein fernzugriff wäre somit also nicht die letzte und einzige rettung, wieder an die daten zu kommen.
für den entwickler aber vermutlich die einfachste (transparenz olé) und schnellste (hoffentlich hats keiner gesehn) methode.
 
@elektrosmoker: da gäbe es theoretisch schon ein paar wenns und abers. Denn der fixende Zugriff bzw dessen Gewährung im Rahmen eines Updates könnte an die Bedingung geknüpft sein, das der Install des Fuchses als Admin zu erfolgen hat oder aber es ändert sich mal grade garnix am Zustand des Passwortgeschützt (und evt verschlüsselt sein) der PW Datenbank ?
Zumindest ich fände das jedenfalls etwas leichtsinnig von Mozilla, jedem minder oder in Wahrheit garnicht befugten Gerätenutzer per drüberbügeln mittels einer neueren Install.exe oder Install.apk das abschalten und gut möglich anschließend ungehemmt betrachten können sämtlicher PW zu ermöglichen.
Wenn nun aber jener Fuchs vorher nicht als Admin installiert wurde, grade damit er nicht 'alles' darf, dann würde jenes nachgelagerte: ein Update als Admin installieren, eben damit die PW Datenbank wieder 'befreit' wird, durchaus ein paar andere Probs aufwerfen bzw schlagartig herbeiführen.
Mag ja sein, das so mancher diese Fernabschaltung als dicken Vertrauensbruch und was sehr sehr bedenkliches einstuft .. aber wie siehts bei denen eigentlich mit dem Gedankengang aus, das Mozilla sich so einiges dabei gedacht hat ?
Zu allererst mal wohl das: möglichst schnell möglichst viel weiteren Schaden garnicht erst entstehen zu lassen ? Ist schließlich bekanntlich so ne Sache, mit dem sich aus div Gründen weigern, überhaupt nen neues Update aufzuspielen ? ;-) Bis dahin zigmaliges: Kind --> Brunnen --> plumms, hinein gefallen .. ist für diejenigen akzeptabler, als so ne Fernabschaltung ? Bissi egoistisch oder ? Vom sich bis dahin sicherlich vergrößerndem Imageschaden für Mozilla nicht geredet ..

Und falls ich mich nicht falsch erinnere: fand da nicht ne ähnliche User Schutzaktion statt, vor so einigen Monaten, eher schon Jahren, wo der übel Schindluder treiben könnende shockwaveplayer auch zackig ferneingeschränkt wurde ?
 
Ich speicher keine Passwörter im Browser.
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 10:25 Uhr Aiolo Externe Tragbare Festplatte, Aluminiumlegierung, 2.5-Zoll Type C USB 3.1 Backups HDD Tragbarefür für PC, Mac, TV, Desktop, Laptop, PS4, XboxAiolo Externe Tragbare Festplatte, Aluminiumlegierung, 2.5-Zoll Type C USB 3.1 Backups HDD Tragbarefür für PC, Mac, TV, Desktop, Laptop, PS4, Xbox
Original Amazon-Preis
37,99
Im Preisvergleich ab
?
Blitzangebot-Preis
32,29
Ersparnis zu Amazon 15% oder 5,70

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.