Wenn man sich irgendwo anmeldet, z.B. in einem Forum oder ähnlichen Seiten,
dann gibt es dort im Loginmenü ja meistens ein Häckchen bei dem man gefragt wird,
ob man eingeloggt bleiben möchte und wenn man als Browser den Firefox verwendet, dann wird oben der Passwortmanager eingeblendet, der einem fragt ob er das Passwort speichern soll.


Meine Frage ist nun folgende.
Sind das bezügl. der Speicherung des Passworts beim Häkchen und beim Passwortmanager von Firefox zwei unterschiedliche Dinge?

Also speichert die erste Variante wenn man das Häkchen setzt das Passwort in einem Cookie und die zweite Variante irgendo im Passwortmanager von Firefox oder ist das beides ein und das selbe?


Wenn es nicht das selbe ist, dann wäre es doch vernünftig die Passwortspeicherung nur vom Passwortmanager von Firefox durchführen zu lassen, denn dort kann man ja noch ein Generalpasswort usw. setzen um damit alle PW zu verschlüsseln.

Wie ist hier die Sachlage?



PS:
Das man im Idealfall gar keine PW auf dem Rechner speichern sollte ist mir natürlich auch klar, aber bei nicht so wichtigen Seiten oder Useraccounts ist das einfach praktischer.

Das "eingeloggt bleiben" wird mit Cookies realisiert. Der Passwort-Manager füllt nur Anmeldeformulare aus, die man dann noch bestätigen muss.

Solange man Passwörter eingibt kann man sich eigentlich nie absolut sicher sein. Das kann ja auch alles von einem Keylogger abgefangen werden. Es ist halt die Frage mit welchen Maßnahmen man sich vor welchen Fällen schützen will. Wenn man Passwörter nicht speichert, sichert man sich bezüglich Diebstahl und Personen die den Rechner oder das Benutzerkonto ebenfalls benutzen ab. Aber als Mittel gegen Hacker wird das alleine nicht viel bringen.

die passwörter die der browser für dich speichert werden auch nicht verschlüsselt abgelegt, die kann jeder einsehen. Bei firefox in den optionen die liste mit den gespeicherten websiten anzeigen lassen und noch "passwörter anzeigen" drücken.

die passwörter die der browser für dich speichert werden auch nicht verschlüsselt abgelegt, die kann jeder einsehen. Bei firefox in den optionen die liste mit den gespeicherten websiten anzeigen lassen und noch "passwörter anzeigen" drücken.
Natürlich werden die verschlüsselt abgelegt! Aber wenn jemand an die Datei mit den Passwörtern ran kommt, dann kommt er auch deine Schlüsseldatei ran, mit der die Kennwörter verschlüsselt wurden und die zum entschlüsseln benötigt wird.

die passwörter die der browser für dich speichert werden auch nicht verschlüsselt abgelegt, die kann jeder einsehen. Bei firefox in den optionen die liste mit den gespeicherten websiten anzeigen lassen und noch "passwörter anzeigen" drücken.

Es gibt bei Firefox die Möglichkeit mit einem Masterpasswort bzw. Generalschlüssel alle gespeicherten Passwörter zu verschlüsseln und ohne dieses kommt man nicht mehr an die Passwörter heran.

werden in cookies die passwörter verschlüsselt gespeichert?

werden in cookies die passwörter verschlüsselt gespeichert?
in cookies sollten eigentlich gar keine stehen :rolleyes:

Es gibt bei Firefox die Möglichkeit mit einem Masterpasswort bzw. Generalschlüssel alle gespeicherten Passwörter zu verschlüsseln und ohne dieses kommt man nicht mehr an die Passwörter heran.
Das Master-Passwort dient nur zum autorisierten Zugriff auf die gespeicherten Passwörter (genauer auf die Datei mit dem Schlüssel), aber unabhängig davon werden sie trotzdem verschlüsselt. Ohne Master-Passwort ist jeder, der das Profil starten/nutzen kann, autorisiert.

werden in cookies die passwörter verschlüsselt gespeichert?
Das kommt auf die Webseite bzw. das Programm an, was den Cookie setzt.
Hier im Forum wird der Hash-Wert gespeichert, der auch beim einloggen übermittelt wird.

Wie werden diese genau verschlüsselt (bsp: AES256bit?).

Die Passwörter bei Firefox? Mit 3DES (CBC Mode)


http://mxr.mozilla.org/firefox/source/toolkit/components/passwordmgr/src/storage-Legacy.js#1122
http://mxr.mozilla.org/firefox/source/toolkit/components/passwordmgr/src/storage-Legacy.js#1252
http://mxr.mozilla.org/firefox/source/security/manager/ssl/src/nsSDR.cpp#220
http://mxr.mozilla.org/firefox/source/security/manager/ssl/src/nsSDR.cpp#137
http://mxr.mozilla.org/firefox/source/security/nss/lib/pk11wrap/pk11sdr.c#170

"goto loser" X-D

Hier im Forum wird der Hash-Wert gespeichert, der auch beim einloggen übermittelt wird.
Wird der Hash personalisiert oder könnte man ihn auch dazu benutzen sich in andere vBulletins einzuloggen (bei gleichen Logindaten)?

Wenn das andere Forum das selbe Salz bei dem User in die Suppe tut, dann geht das sicherlich.

Der Salt-Wert scheint pro Benutzer individuell zu sein, so dass nicht mal zwei gleiche Passwörter zweier Benutzer eines Boards den gleichen Hash haben. Dann wird das bei unterschiedlichen Boards erst recht nicht der Fall sein.

War nur so ein Gedanke...

Irgendwie würde ich das immer doch lieber mit KeePass1 portable erledigen.

Davon ab: Wie wichtig ist zB. ein Forum-Passwort? :|

Warum nicht gleich die Mozilla Profile in einen TrueCrypt Container?

ich nutze airobo mit mastzer-pw dazu.meine daten dazu lagern auf einem usb-sticky.

Warum nicht gleich die Mozilla Profile in einen TrueCrypt Container?Geht auch. Ich selbst mag alleine für sowas nicht extra mounten. Und KeePass kann man dann für jedwede Passwortfragen nutzen. Spätestens seit es die Option gibt, daß es nach x Sekunden von alleine wieder gelockt im Tray verschwindet finde ich diese Lösung wesentlich bequemer und sie ist nicht minder sicher.