Ich habe ein wenig paranoia wenn es um's Passwörter speichern geht, im Firefox. Ich gebe wichtige Passwörter immer händisch ein (Kreditkarte, Paypal, Amazon, Netbanking etc.) und speichere sie nie. Nur ist das irgendwie recht lästig, zumal die sehr kompliziert sind und sich alle voneinander unterscheiden.

Kann man solche wichtigen Passwörter ohne weiteres speichern, oder sind die irgendwie gefährdet, wenn ich sie im Firefox "sichere"?
An diesem Stand-PC arbeite sowieso nur ich .... aber es geht um Zugriffe durchs Internet. Kenn mich ja auch nicht wirklich aus.

würd mich schon interessieren ...

Kann man, aber nicht über den Browser
http://keepass.info/

Kann man, aber nicht über den Browser
http://keepass.info/
Wenn man sich nen Trojaner holt hilft das auch nicht mehr.

Sicher ist sowieso nix.
Ich hab die einfachen Passwörter für Foren usw. aber auch im Browser gespeichert und die von Shops und Co in Keepass.

Auch im Firefox werden die Passwörter verschlüsselt, jedoch ist im Auslieferungszustand kein Passwort nötig, so das ein kopieren der Passwortdatenbank und der Schlüsseldatei reichen um die Passwörter zu kopieren und benutzen zu können.

Wenn du ein Masterpasswort setzt, besteht ohne Passwortabfrage kein Zugriff mehr zu den Passwörtern:

http://support.mozilla.com/de/kb/Gespeicherte%20Passw%C3%B6rter%20mit%20einem%20Master-Passwort%20sch%C3%BCtzen?s=master+passwort&r=1&as=s

Es gibt nicht viele Trojaner, die die Kommunikation von Keepass abfangen können. Wobei andere Schlüsselverwalter wie im Test hinsichtlich des Mithorchens noch besser abgeschnitten haben, Roboform scheint da die Nase vorn zu haben. Zur Integration von Keepass in Firefox kann ich Keefox (http://keefox.org/)empfehlen.

Es gibt nicht viele Trojaner, die die Kommunikation von Keepass abfangen können. Wobei andere Schlüsselverwalter wie im Test hinsichtlich des Mithorchens noch besser abgeschnitten haben, Roboform scheint da die Nase vorn zu haben. Zur Integration von Keepass in Firefox kann ich Keefox (http://keefox.org/)empfehlen.
Wenn sich der Trojaner halbwegs ordentlich ins System einbettet liest der nicht nur mit Benutzerrechten die Tastatureingaben aus.
Und üblicherweise kopiert man die Passwörter ja in die Zwischenablage.

Die meisten Viren werden vermutlich eh versuchen die Standardpasswortdatenbank vom Firefox zu klauen. Dafür ist Keepass schon eine sinnvolle Maßnahme.

Wenn sich der Trojaner halbwegs ordentlich ins System einbettet liest der nicht nur mit Benutzerrechten die Tastatureingaben aus.
Und üblicherweise kopiert man die Passwörter ja in die Zwischenablage.

Nein und nein. Ein vernünftiger Passwortmanager verwendet überhaupt nicht den Keyboardtreiber und flüstert gleich dem Browser das Passwort in die SSL-Verbindung. Das ist nur schwer abgreifbar.

Nein und nein. Ein vernünftiger Passwortmanager verwendet überhaupt nicht den Keyboardtreiber und flüstert gleich dem Browser das Passwort in die SSL-Verbindung. Das ist nur schwer abgreifbar.
Und ich dachte das wird direkt per Quantenteleportie in die Elektronen des Server transportiert...
Natürlich mit Vollbitverschlüsselung.

danke für die zahlreichen, ein wenig verwirrenden, antworten ;)

was würdet ihr mir nun empfehlen? einfach auf die alte art und weise verfahren, und passwort immer manuell eingeben?

oder doch Roboform, oder KeePass mittels KeeFox?

ein masterpasswort hab ich mal für die anderen passwörter gesetzt ;)

@PatkIllA
Du kannst entweder direkt in das INPUT-Feld schreiben, das kann man als Trojaner noch abfangen, man muss sich aber an eine Menge Browser anpassen, oder du schreibst sogar am HTML vorbei, dann liegt die Arbeit beim Passwortmanager. Aber das Passwort bleibt dabei ständig verschlüsselt, auch die Eingabe des Masterpassworts muss natürlich gesichert sein.

@Angijak-Ishi
Es gilt zu verhindern, dass das Passwort irgendwann im Klartext vorliegt und über die normalen Eingabewege abgefangen werden kann. Sobald du es eintippst, kann jede Malware es ohne großen Aufwand mitlesen. Aber jeder Passwortmanager macht es für den Angreifer schwerer als die händische Methode.

Du kannst entweder direkt in das INPUT-Feld schreiben, das kann man als Trojaner noch abfangen, man muss sich aber an eine Menge Browser anpassen
Soviele gibt es da auch nicht und die haben AFAIK haben die auch alle eine API um auf die Struktur zuzugreifen.
Im Vergleich zum Trojaner ein geringer Aufwand und es ist auch ein lohndes Ziel, wenn man direkt die Seite mit login und Password abgreift. Da muss man nicht irgendwelche Eingabestreams von der Tastatur mit anderen Eingaben loggen und zusammenführen.
oder du schreibst sogar am HTML vorbei, dann liegt die Arbeit beim Passwortmanager.Was schreibst du am HTML vorbei? Spätestens bevor der Request rausgeht muss das Passwort in der Eingabebox stehen. Außerdem verwenden viele Seiten ein Javascript, dass bei leerem Passwort die Seite es gar nicht mehr abschickt oder wo das Script selbst direkt asynchron die Abfrage abschickt. Bei allen muss das Passwort unverschlüsselt in der Eingabebox landen.
Aber das Passwort bleibt dabei ständig verschlüsselt, auch die Eingabe des Masterpassworts muss natürlich gesichert sein.
Wenn der Trojaner mit Systemrechten läuft ist da nichts mehr zu sichern.
Es gilt zu verhindern, dass das Passwort irgendwann im Klartext vorliegt und über die normalen Eingabewege abgefangen werden kann.Es muss am Ende im Klartext vorliegen und kann dann auch abgefangen werden.
Aber jeder Passwortmanager macht es für den Angreifer schwerer als die händische Methode.Keepass kopiert es in die Zwischenablage und die auszulesen ist sogar noch einfacher als einen Keylogger zu bauen.

Unterstützt Verschleierung.
http://keepass.info/help/v2/autotype_obfuscation.html

Unterstützt Verschleierung.
http://keepass.info/help/v2/autotype_obfuscation.html
Das macht es aber auch nur schwieriger und der Angriffspunkt es nach dem Einfügen aus der Applikation auszulesen bleibt bestehen.
Halbwegs sicher wird es erst, wenn der Rechner dazwischen weg ist. Also z.B. bei Kartenlesegeräte mit eigener Tastattur, Display und Prozessor. Und selbst da kann es Schadprogramm über Firmwaremanipulationen oder Debugfunktionen noch zwischen kommen.
Bei tastaturanschlägen gab es ja sogar schon Angriffe, wo man aus dem Nebenzimmer die Anschlaggeräusche analysier hat und damit auf die Eingabe schlie0en konnte.

Wenn man sich nen Trojaner holt hilft das auch nicht mehr.Wenn man einen Trojaner hat hilft GARNICHTS ;)

Das mit der Zwischenablage ist bei allen so. Bei solchen Programmen geht es nicht darum auf einem verseuchten System sicher zu laufen. Das weißt du aber :)

Was ich aber weiß ist daß KeePass unter Windows an der Zwischenablage bisschen rumhackt. Eine Soft die nicht explizit darauf ausgelegt ist diese KeePass Hacks zu überwachen kriegt nicht mit daß der Inhalt der Zwischenablage sich grad verändert hat. Und holt da daher auch nichts ab.
Dafür benutzen es zu wenige :usweet: Es klappt sonst nur wenn man zb. im Sekundentakt den Inhalt "abholt".

@Angijak-Ishi
Ich kenne momentan keine Trojaner die es auf KeePass abgesehen hätten. Dafür einige die am Firefox oder Roboform rumkratzen. Mit Firefox ist es das Problem daß es keine sonstigen tricks nutzt. Masterpassword kann in der Auslagerungsdatei landen, kein secure desktop, password controls samt password sind im Prozesspeicher zu sehen usw.

Ich würde es wie PatkIllA machen. Für die Foren kann man sich wohl sowas wie 457g07 merken. Das wird niemand zu Fuß knacken wollen. Den Rest legst du in KeePass ab.

KeePass ist vom Handling her wirklich sehr komfortabel. Doppelklick auf ein einzelnes Feld in der Zeile holt den Inhalt des Feldes raus, geht wieder von alleine zugeknüpft nach Tray, da Doppelklick macht es gleich das Fenster für Masterpasswort mit auf und etliche etliche andere sinnvolle Features die sich im Laufe der Jahre als extrem nützlich erwiesen haben.

Wenn man einen Trojaner hat hilft GARNICHTS ;)

Das mit der Zwischenablage ist bei allen so. Bei solchen Programmen geht es nicht darum auf einem verseuchten System sicher zu laufen. Das weißt du aber :) Aber ohne Schadprogramm werden die Passwörter auch nicht ausgespäht.

Aber ohne Schadprogramm werden die Passwörter auch nicht ausgespäht.
Was soll diese sinnlose Diskussion? Es ist klar, dass wenn ein Rechner erst einmal kompromitiert ist, theoretisch nichts mehr sicher ist. Dennoch ist es wohl nicht zu leugnen, dass ein 0815-Trojaner vermutlich nicht auf KeePass spezialisiert ist, weil es schlicht und einfach nicht lohnt. Von daher bieten dieses und vergleichbare Programme sicherlich Vorteile.

Was soll diese sinnlose Diskussion? Es ist klar, dass wenn ein Rechner erst einmal kompromitiert ist, theoretisch nichts mehr sicher ist. Dennoch ist es wohl nicht zu leugnen, dass ein 0815-Trojaner vermutlich nicht auf KeePass spezialisiert ist, weil es schlicht und einfach nicht lohnt. Von daher bieten dieses und vergleichbare Programme sicherlich Vorteile.
Ich will daruaf hinaus, dass nichts wirklich sicher ist.
Es gibt etliche Leute, die sich auch durch sinnlose Tools (als was ich Keypass nicht bezeichnen würde) in völliger Sicherheit wiegen.
Die meisten Rechner mit Vireninfektion, die ich gesehen habe hatten durchaus einen Virenscanner drauf.

Aber ohne Schadprogramm werden die Passwörter auch nicht ausgespäht.Ein Passwortmanager ist kein Passwort-Antispäh-Programm gegen Trojaner.

Es geht zum einen darum, daß nicht jeder Depp der mit an die Kiste darf oder ran könnte Passwörter in Passwort.txt Datei findet.
Außer dem Copy&Paste aus so einer Textdatei, die sich mit dem obenerwähnten verbietet, geht es zum anderen mit einem starken Passwort die Daten da schützen wo sie zum Öffnen bereit liegen.

Kein Copy&Paste aus ordinären Textdateien, halbwegs annehmbares Handling, etliche starke Passwörter wie <E.ve3J5fw(;c%gFDrTPbU(_zW6%Qµo nicht auswendig pauken müßen ;)

Wenn man dazu noch gerne ein Programm nutzen würde welcher auch zur Laufzeit etliche Vorkehrungen zu treffen versucht damit die Passwörter nur mit merkbaren Aufwand abgegriffen werden können, diese Vorkehrungen seit mehreren Jahren durchdacht und optimiert werden und das Verwenden auch noch mit möglichst wenig Aufwand abläuft, landet man einfach bei KeePass. Fast schon zwangsläufig.

Die absolut trivialen Sachen wie zb. Internetforen wo die Geschichte immerweider lehrt, daß man sich mehr um die Sicherheit des Forenservers als um das Hacken des eigenen Passworts machen sollte, kann man alleine mit dem Gehirn erledigen. k0ff3r und ähnliche Scherze reichen da völlig und ich wüßte im Moment nicht warum man für 3dc ein anderes Passwort haben sollte als für Motor-Talk.

Wenn man an vielen Ecken anzutreffen ist und sich Gedanken über Datenschutz macht, sollte man eher verschiedene Nicks und Avas nutzen, als überall verschiedene Passwörter. Passwortparanoia bringt da nichts, solange man kein Forenadmin/Crew/Moderator ist.

Passwörter habe ich im Firefox mit Masterpasswort gesichert, Cockies und Co wird nach X Minuten Leerlauf als auch beim Schließen eines Tabs gelöscht.
Man ahnt das ich also auch mich nicht ständig irgendwo einloggen möchte wenn ich nur passiv irgendetwas lese sondern nur wenn ich es auch wirklich muss.
Der gute Firefox nervt einem jetzt aber trotzdem bei jeder neuen Seite bzw. Tab wo ich Zugangsdaten gespeichert habe mit diesem Masterpasswort.

https://abload.de/thumb/passwortaiuq4.jpg (http://abload.de/image.php?img=passwortaiuq4.jpg)

Gibts da irgend ein Addon das mir diese Masterpasswort Abfrage per Klick über Symbolleise aktiviert/deaktiviert. ich das Passwort also nur eingeben muss wenn ich mich auch wirklich anmelden will und nicht schon beim laden der Seite.

Besitzt nur du einen Account auf dem PC und benutzt du ihn alleine? Wenn ja, dann kannst du das Masterpasswort im Firefox deaktivieren und stattdessen besser Vollverschlüsselung für die Festplatte nutzen. Windows bringt dafür Bitlocker mit.

AFAIK ist der Angreifer aus dem Threat Model für die verschlüsselte Passwortverwaltung beim Firefox ein Nutzer auf dem gleichen Rechner, der aus irgendwelchen Gründen Zugriff auf die Passwortdatenbank beim Firefox erlangt. Wenn du das ausschließen kannst, ist die verschlüsselte Passwortdatenbank überflüssig. Gegen verlorene oder gestohlene Rechner ist Vollverschlüsselung sehr viel effektiver. Die verschlüsselte Passwortdatenbank sollte man eher als Alternative für Rechner sehen, die kein AES in Hardware unterstützen und bei denen Vollverschlüsselung dadurch nicht praktikabel ist.

Gegen Trojaner und Co. hilft natürlich weder Vollverschlüsselung noch die verschlüsselte Passwortdatenbank und auch keine regelmäßig gelöschten Cookies.

Die verschlüsselte Passwort-Datenbank hält aber den "Kumpel" davon ab mir die Zugangsdaten zu mopsen wären ich mal kurz auf dem Stillen-Örtchen etc. bin. Da bringt einem eine Vollverschlüsselung des kompletten PCs absolut nichts wenn die Kiste läuft.

https://addons.mozilla.org/de/firefox/addon/master-password/

Das hier geht mal in die Richtung, die Masterpasswortabfrage lässt sich komplett unterdrücken und bei Bedarf per Shortcut herbeizaubern. Lästig ist jetzt nur noch das man dann die Seite noch mal neu laden muss um sich dann per Doppelklick an zu melden ... könnte ja auch automatisch gehen :rolleyes:

http://keepass.info/

Und gut ist

176 Passwörter sind es schon..
Und alle Random, ich weiß nur das 32 Stellige Masterpassword..

Hilft auch wenn mal eine Seite gehacked worden ist.. Passwort tauschen, weitermachen.

http://keepass.info/

Und gut ist

176 Passwörter sind es schon..
Und alle Random, ich weiß nur das 32 Stellige Masterpassword..

Hilft auch wenn mal eine Seite gehacked worden ist.. Passwort tauschen, weitermachen.


Wurde doch direkt als 1. Beitrag dazu empfohlen....

btw. ist der Thread 5 Jahre alt.

Wurde doch direkt als 1. Beitrag dazu empfohlen....

btw. ist der Thread 5 Jahre alt.

Egal :freak:, Keeypass bleibt das Maß der Dinge imo :tongue:

Egal :freak:, Keeypass bleibt das Maß der Dinge imo :tongue:

KeePass hatte zum Zeitpunkt als der Thread aktuell war nicht einmal authentifizierte Verschlüsselung. Mittlerweile ja, aber das war nicht immer so.

zumindest bietet es für den durchschnittlichen Privatanwender imo genügend Sicherheit.

Damals jedenfalls nicht. Haufenweise Leute haben es in Kombination mit z.B. Dropbox benutzt, obwohl es nicht sicher gegen Chosen-Ciphertext-Angriffe war. Hat eben auch nie die Integrität der Passwortdatenbank gecheckt.

Mittlerweile haben sie das behoben, aber es war weder damals noch heute die erste Wahl. Das Format von Bruce Schneiers Password Safe war von Anfang an besser.

Heute würde man wohl eher 1Password benutzen, wenn man sich von den Kosten nicht abschrecken lässt.

Ich würde von KeePass nicht abraten, aber blind empfehlen würde ich es auch nicht.