[Lerran]

Hallo zusammen,

dies ist zwar mein erster Beitrag im Forum, bin aber schon seit langem „stiller“ Mitleser

Nun habe ich aber mal eine Frage zum Thema Passwörter speichern im Browser und Passwort-Manager – bis jetzt habe ich meine Passwörter „old school“ analog mehr oder weniger vorliegen

Firefox bietet ja mittlerweile einen integrierten Passwort-Manager (Lockwise) an.
Wie sicher ist denn so ein im Browser integrierter Passwort-Manager? Sobald ich doch ein Hauptpasswort verwende, habe ich doch im Grunde nichts anderes als mit einem „externen“ Passwort-Manager? Oder könnte sich ein Fremder dann trotzdem die Passwörter (trotz Hauptpasswort) extrahieren über eine infizierte Webseite?

Vielen Dank für eure Einschätzung und Tipps

[foobar]

Die Frage ist immer, wogegen man sich schützen will und was man braucht. In gewisser Weise ist der klassische Papier-Zettel natürlich schon unschlagbar. Da beißt sich auch der gewiefteste Hacker aus Russland oder China die Zähne dran aus. Nachteilig ist, dass man ihn vielleicht nicht immer dabei haben kann. Und dass jemand, der physischen Zugang hat (bspw. Einbrecher oder Leute, die im selben Haushalt leben) ihn finden können. Und man muss die Passwörter trotzdem manuell eintippen, was in Arbeit ausartet und somit zur Nutzung kurzer (und damit unsicherer) Passwörter verleitet.

Umgekehrt bieten Passwort-Manager viel Komfort an. Sie können bspw. automatisch sichere Passwörter erzeugen (Menschen sind sehr schlecht darin, echt zufällige Werte zu generieren), sie erlauben oft die Synchronisation zwischen verschiedenen Geräten (auch mobil), sie können eben mit einem Master-Passwort vor neugierigen Blicken geschützt werden und sie können auch die längsten (und damit sicheren) Passwörter blitzschnell automatisch ausfüllen (bei separaten Programmen läuft das oft über ein Plugin für den Browser). Das Synchronisieren kann über eine Cloud erfolgen oder im Peer-to-Peer-Verfahren, jeweils mit unterschiedlichen Vor- und Nachteilen.

Theoretisch ist ein Passwort-Manager, der als separater Prozess (also eigenständiges Programm) läuft, besser isoliert vom Browser. Inwieweit das in der Praxis relevant ist, dazu habe ich keine empirischen Daten zur Hand. Besonders sicher sind natürlich Passwort-Manager, die mit Zwei-Faktor-Autorisierung arbeiten. Andererseits ist ein zweiter Faktor auch wieder Arbeit, den man sich vielleicht nicht für jedes popelige Forenkonto antun will.

Mit FIDO2 gibt es auch Ansätze, die ganz ohne Passwort arbeiten. Muss aber vom jeweiligen Dienst unterstützt werden.

Der Manager im Firefox ist nicht per se schlechter als andere, aber er funktioniert halt nur da. Für andere Anwendungen ist er dann vielleicht nicht mehr so nützlich. Wenn du Alternativen suchst: Zu den kostenlosen und dank OpenSource auch recht sicheren Programmen gehören Bitwarden, KeePass, KeePassXC und Password Safe.

[Lerran]

Hi foobar,

danke für deine Einschätzung.
So gesehen wäre ja der Firefox gar nicht mal so ne blöde Idee - ein Sync zu anderen Geräten brauche ich nicht und sowas über ne Cloud zu jagen wäre jetzt auch nicht so meins.
Ich gehe mal stark davon aus, dass Firefox die Passwörter und das Hauptpasswort auf der Festplatte verschlüsselt speichert oder? Weißt du wo man das nachsehen könnte?

[Homerclon]

Im Profil-Ordner befindet sich die Datei "logins.json", darin sind die Logindaten gespeichert.

[foobar]

Ich gehe mal stark davon aus, dass Firefox die Passwörter und das Hauptpasswort auf der Festplatte verschlüsselt speichert oder? Weißt du wo man das nachsehen könnte?

Zu den Passwörtern hat Homerclon bereits geantwortet. Das Hauptpasswort selbst ist AFAIK nirgends gespeichert. Du gibst es ein und Firefox versucht, damit den Passwortspeicher zu entschlüsseln. Entweder das klappt, dann war es richtig. Oder es klappt nicht, dann kommt eine Fehlermeldung.

[Lerran]

Vielen Dank an euch beiden für die Erklärungen. Habe die File gefunden und die Usernames und PWs sind dort auch verschlüsselt.
Ich denke ich werde einfach mal den Lockwise ausprobieren. Wenns mir nicht gefällt, dann kann ich immer noch deine (@ foobar) genannten Passwort-Manager ausprobieren