Firefox
5 Reaktionen

Firefox 76 schützt gespeicherte Passwörter

Geschätzte Lesedauer:

Ab Firefox 76 schützt Mozilla die gespeicherten Passwörter der Nutzer auch für all jene, welche kein Master-Passwort gesetzt haben. In dem Fall greift in Zukunft die Authentifizierung des Betriebssystems in Form des System-Passworts oder Biometrie.

Nutzer von Firefox können bereits seit vielen Jahren ihre Passwörter mit einem Master-Passwort sichern. Dann werden die Passwörter verschlüsselt und für die erstmalige Interaktion mit Passwörtern in einer Firefox-Sitzung ist die Eingabe des eingestellten Master-Passworts erforderlich.

Viele Nutzer haben jedoch kein Master-Passwort gesetzt. Neugierige Menschen mit Zugang zum Computer könnten in dem Fall unter about:logins ganz einfach alle gespeicherten Passwörter einsehen.

Ab Firefox 76 ist das nicht mehr möglich, zumindest unter Windows und Apple macOS ab Version 10.12. Dann nämlich fordert Firefox für Nutzer ohne Master-Passwort zur Authentifizierung über das Betriebssystem auf. Dies kann in Form eines Passworts oder Biometrie sein, zum Beispiel per Fingerabdruck, falls ein solcher hinterlegt ist. Nach der Authentifizierung merkt sich Firefox dies für fünf Minuten. Anschließend wäre eine erneute Authentifizierung notwendig, um Passwörter zu betrachten.

Firefox 76 Passwort-Schutz

Firefox 76 erscheint nach aktueller Planung am 5. Mai 2020. Die Neuerung ist bereits Teil der aktuellen Nightly-Version von Firefox.

Unabhängige Berichterstattung unterstützen.

Unterstütze wirklich unabhängige und Fakten-basierte Berichterstattung zu Mozilla, welche nicht das Ziel hat, Schlagzeilen zu produzieren, sondern objektiv zu informieren.

Dieser Artikel wurde von Sören Hentzschel verfasst.

Sören Hentzschel ist Webentwickler aus Salzburg. Auf soeren-hentzschel.at informiert er umfassend über Neuigkeiten zu Mozilla. Außerdem ist er Betreiber von camp-firefox.de, der ersten Anlaufstelle im deutschsprachigen Raum für Firefox-Probleme aller Art. Weitere Projekte sind firefox.agenedia.com, firefoxosdevices.org sowie sozone.de.

5 Kommentare - bis jetzt!

Eigenen Kommentar verfassen
  1. Tilman
    schrieb am :

    Aah, wech sinnvolle Neuerung! 🙂

    Frage am Rande: Wie sieht es dann zukünftig mit der Portabilität des Profil-Ordners aus? Läuft der rein über Berechtigungen des Dateisystems, kommen hier systemspezifische Verschlüsselungtechniken zum Einsatz, oder..?

    Bisher wurden die Passwörter beim  Übertragen des Ordners ja mit schlicht mitkopiert.

  2. bYemma
    schrieb am :

    Und wenn man kein Passwort oder ähnliches hinterlegt hat? 😀

  3. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Frage am Rande: Wie sieht es dann zukünftig mit der Portabilität des Profil-Ordners aus? Läuft der rein über Berechtigungen des Dateisystems, kommen hier systemspezifische Verschlüsselungtechniken zum Einsatz, oder..?

    Daran ändert sich nichts.

    Und wenn man kein Passwort oder ähnliches hinterlegt hat?

    Dann gibt es natürlich keine Abfrage. 😉

  4. Peter
    schrieb am :

    "Daran ändert sich nichts."

    Tatsächlich:

    "we just use an api to ask him for his windows password: it s a bit cheating so the normal users feel more secure, and he is indeed more secure against normal people attacks, however in the a background : advanced user can still get the passwords.

    This is not a solution for all the problems, but its a step in the right path"

    Das ist gefährlich. Der User bekommt den Eindruck seine Passwörter seien durch ein Passwort geschützt, sind es in Wirklichkeit aber gar nicht!

     

    Mit den OS-Credentials sollte das Passwort aber auch nicht verschlüsselt sein, sonst gibt es oben schon genannte Problem der Portabilität wenn ich das Profil auf einen anderen Rechenr umziehen will oder mit mehreren OS benutzen will.

  5. Sören Hentzschel Verfasser des Artikels
    schrieb am :

    Das ist gefährlich. Der User bekommt den Eindruck seine Passwörter seien durch ein Passwort geschützt, sind es in Wirklichkeit aber gar nicht!

    Diese Behauptung ist ganz großer Quatsch. Vorher hat überhaupt kein Schutz existiert. Selbst wenn es mit diesem nun implementierten Schutz noch andere Wege gibt (die mit diesem Schutz überhaupt nichts zu tun haben!), kann die Tatsache an sich, dass ein Schutz implementiert worden ist, nicht gefährlich sein. Ganz im Gegenteil wird damit ein Angriffsvektor genommen, womit die Sicherheit ganz klar verbessert wird.

    Mit den OS-Credentials sollte das Passwort aber auch nicht verschlüsselt sein, sonst gibt es oben schon genannte Problem der Portabilität wenn ich das Profil auf einen anderen Rechenr umziehen will oder mit mehreren OS benutzen will.

    Wird es auch nicht.

Und jetzt du! Deine Meinung?

Erforderliche Felder sind mit einem Asterisk (*) gekennzeichnet. Die E-Mail-Adresse wird nicht veröffentlicht.

  1. Nach Absenden des Kommentar-Formulars erfolgt eine Verarbeitung der von Ihnen eingegebenen personenbezogenen Daten durch den datenschutzrechtlich Verantwortlichen zum Zweck der Bearbeitung Ihrer Anfrage auf Grundlage Ihrer durch das Absenden des Formulars erteilten Einwilligung.
    Weitere Informationen