Firefox 67: Verbesserungen des Passwort-Managers
Mozilla hat in Firefox 67 gleich mehrere Verbesserungen des integrierten Passwort-Managers vorgenommen.
Eine praktische Funktion von Firefox ist es, sich Passwörter merken zu können, damit man diese auf Webseiten nicht immer wieder neu eingeben muss. Eben jene Komponente erfährt in Firefox 67 mehrere Verbesserungen.
Die auffälligste Neuerung ist, dass Benutzernamen- und Passwortfelder, welche von Firefox vervollständigt worden sind, nun farblich hinterlegt werden. Das ist konsistent zur Vervollständigung von Formularfeldern, einer anderen Funktion von Firefox. Auch dabei werden von Firefox vervollständigte Felder in dieser Farbe hinterlegt.
Ist für eine Webseite nur ein Passwort gespeichert, füllt Firefox dieses bei Besuch bisher standardmäßig automatisch aus. In den Firefox-Einstellungen wurde nun eine sichtbare Option implementiert, um dieses Verhalten abzuschalten.
Eine weitere Neuerung betrifft private Fenster. In diesen erlaubt es Firefox bisher nicht, Passwörter zu speichern. Ab Firefox 67 kann Firefox auch in privaten Fenstern Passwörter von Webseiten speichern. Der Unterschied zu regulären Fenstern ist, dass der Speichern-Dialog in privaten Fenstern nicht automatisch aufploppt, sondern der Nutzer dafür zunächst das Schlüsselsymbol in der Adressleiste anklicken muss. Wem das nicht gefällt, der kann diese Neuerung über about:config deaktivieren, indem der Schalter signon.privateBrowsingCapture.enabled auf false gesetzt wird.
Firefox 67 wird nach aktueller Planung am 14. Mai 2019 erscheinen.
Ist's möglich alle gespeicherten Credentials userfriendly zu exportieren?
Nein und ich sehe darin ehrlich gesagt auch keinen lohnenswerten Anwendungsfall für Firefox. Denn wozu sollte man die Passworter denn "nutzerfreundlich" exportieren? Wohl für etwas, was mit Firefox selbst nicht viel zu tun hat. Und ab diesem Punkt sehe ich das, wenn überhaupt, als den Bereich eines externen Passwort-Managers an. Denn ein externer Passwort-Manager umfasst alles. Und wozu auch immer man die nutzerfreundlich aufbereitete Ansicht benötigt, das fällt unter "alles". Aber Firefox ist ja wirklich "nur" ein Browser… 😉
Ich finde das sehr löblich. Gerade auch, weil der Passwortmanager gut in den Browser integriert ist. Ich finde, Mozilla dürfte das Feature ruhig mehr promoten – überall sieht man Werbung für (oft kommerzielle) Passwort-Manager, und Firefox hat eine Onboard-Lösung, die kaum herausgestellt wird. Und im Gegensatz zu Chrome hat der Firefox im Prinzip auch wirklich Verschlüsselung.Wobei ich dazu eine Frage habe: Vor etwa einem Jahr wurde (mir) bekannt, dass FF damals ziemlich scheußliche Kryptographie nutzte – das Masterpasswort wurde mit SHA1 und einer einzigen Runde Salting gehasht, das ist so ungefähr 2003er-Standard. Quelle: https://www.heise.de/security/meldung/Passwort-Tresor-Webbrowser-Firefox-pfuscht-seit-neun-Jahren-beim-Master-Kennwort-3998599.htmlHat sich da inzwischen etwas gebessert? Ich habe nichts mehr davon gehört und jetzt auch nichts dazu gefunden. Das ist für mich gerade der größte Hemmschuh, um Leuten den eingebauten Passwort-Manager zu empfehlen …
Kommt vielleicht, wenn Lockbox fertig ist. 😉 Unter diesem Namen bietet Mozilla eine Passwort-Manager-App für iOS an, welche bald auch für Android erscheinen wird. Außerdem arbeitet Mozilla derzeit an einer Lockbox-Erweiterung für den Desktop-Firefox, welche dann quasi einen verbesserten Passwort-Manager darstellt. Wenn das gut weiterentwickelt ist, könnte ich mir vorstellen, dass das den bisherigen Passwort-Manager von Firefox ersetzen wird. Aber da müssen wir abwarten.
Ich sehe darin ehrlich gesagt kein großes Problem in dieser Hinsicht und zwar aus zwei ganz einfachen Gründen:
1. Es gibt nicht grundlos Benutzerkonten auf Betriebssystem-Ebene. Man lässt niemanden unbeaufsichtigt an seinen Computer, dem man nicht vertraut. Und ohne Zugriff auf das Benutzerkonto bräuchte es nicht mal eine Verschlüsselung, weil man eh nicht rankommt. Aber selbst wenn, für jemanden, der mal schnell an deinem Computer ist, dürfte selbst SHA-1 eine große Hürde sein, denn auch das lässt sich nicht ganz ohne Aufwand knacken.
2. Realistischer ist also, dass sich jemand feindlichen Zugang beschafft und heimlich versucht, deine Daten zu erhalten. Dann spielt die Verschlüsselung tatsächlich eine weit größere Rolle. Aber dann hat man ehrlich gesagt ein noch viel größeres Problem. Wer bereits so weit ist, kann gleich einen Keylogger auf dem System platzieren und alles Mögliche mitschneiden.
Damit will ich nicht sagen, dass eine bessere Verschlüsselung nicht erstrebenswert und eine gute Idee wäre. Ist es sicher. Ich will damit nur sagen, dass es für mich ganz nüchtern betrachtet kein Problem der Art ist, welches mich davon abhält, den Passwort-Manager zu nutzen oder anderen zu empfehlen. Ich halte das immer noch für sehr viel sicherer, als überall von Hand seine Passwörter einzugeben. Außerdem fördert (erzwingt es natürlich nicht) die Verwendung des Passwort-Managers auch die Wahl von Passwörtern, die nicht aus der Kategorie "12345" sind. Man ist also meiner Meinung nach mit deutlich besser dran als ohne. Für externe Passwort-Manager gilt natürlich nichts anderes, wobei ich eine zusätzliche externe Software auch wieder als Hürde für einige Menschen einschätze. Angemerkt sei außerdem, dass ich mich nicht mit den Gründen befasst habe, welche Mozilla bisher davon abgehalten haben – ob es eine reine Ressourcen-Frage ist oder technische Gründe gibt, wäre sicher eine interessante Information.
Bevor wir auf die Algorithmen einsteigen, wäre es erstmal hilfreicher für die Nutzer, wenn man vor mehrfacher Verwendung von Passwörtern über verscheidene Domains hinweg warnen würde, Passwörter gegen HIBP checken würde sowie einen Generator mit anbieten würde der sichere Konstrukte ausreichender Länge produziert und automatisch im Manager des Browsers hinterlegt.
E-Mail-Adressen können darüber geprüft werden, nicht Passwörter. Und naheliegenderweise würde man Firefox Monitor in einem Mozilla-Produkt verwenden. 😉 Ein solches Feature ist auf aktuellen Lockbox-Mockups bereits zu sehen.
Die anderen von dir genannten Funktionen würde ich auch gerne sehen, weil es innerhalb eines Browsers schon eine Form von Alleinstellungsmerkmal wäre. Zumindest für das MVP von Lockbox ist das meines Wissens aber nicht geplant.
Inzwischen gibt es auch eine Passwort-Prüfung: https://haveibeenpwned.com/Passwords
Danke, das war mir neu. Wobei es wenig daran ändern dürfte, dass Mozilla seine eigene Plattform nutzen wird und Firefox Monitor hat bisher nur die E-Mail-Prüfung. 😉