Mozilla Firefox 76 erweitert den Passwort-Schutz der Nutzer
Mozilla ermöglicht es Benutzern von Firefox, ihr Konto bzw. die dort hinterlegten Kennwörter durch ein Master-Passwort zu schützen. Wer diese Möglichkeit nicht wahrgenommen hat, bekommt nun dennoch einen erweiterten Schutz verpasst. Denn fehlt ein Master-Passwort, dann greift die Authentifizierung des Betriebssystems in Zukunft automatisch.
Das bedeutet, dann werden die Kennwörter in Firefox durch Biometrie oder eben das System-Passwort geschützt. Sinnvolle Maßnahme, denn wer kein Master-Passwort gesetzt hat, gewährt im Grunde unfreiwillig anderen Nutzern, vorausgesetzt sie haben physischen Zugang zu dem betroffenen Rechner, Zugriff. Wer ebenfalls an den Computer rankommt, kann dann in Firefox unter „about:logins“ alle gespeicherten Passwörter abrufen.
Klar, so hoch ist das Risiko nicht – schließlich muss eben der physische Zugriff auf den PC bestehen. Trotzdem ist das ein Detail, das man vielleicht lieber ändert. Ab Firefox 76 wird das dann eben unter Windows und Apple macOS (ab Version 10.12) nicht mehr möglich sein. Dann fordert Firefox den Nutzer bei fehlendem Master-Passwort zur Authentifizierung über das Betriebssystem auf. Es kommt dann die Methode des Nutzers zum Einsatz, die dieser festgelegt hat – z. B. Passwort oder Fingerabdruck.
Hat die Authentifizierung geklappt, gibt Firefox den Blick auf die Kennwörter für fünf Minuten frei. Anschließend ist nochmals die Freigabe notwendig. In der aktuellen Nightly-Version des Browsers ist diese Neuerung bereits enthalten. Für alle soll sie ab dem 5. Mai 2020 verfügbar sein. Dann wird Firefox 76 nach aktuellem Stand der Dinge erscheinen.
Ich hoffe, das lässt sich abstellen. Können die Hersteller ihren vermeintlichen „Sicherheits“-Quatsch nicht einfach mal optional machen oder meinetwegen auf Enterprise-Versionen beschränken. An meinem heimischen PC, wo niemand außer mir rankommt, fühle ich mich schlicht gegängelt von dauernden Passwortabfragen, die zudem noch hinter Punkten oder Sternchen versteckt werden, damit ich meine eigenen Passwörter ja nicht zu sehen kriege. Die Programmierer verbreiten ihre nerdige Paranoia und werden auch noch gelobt dafür. Aber nicht mehr mit mir. Ich bin da raus.
Ohne es zu wissen würde ich beim Firefox tippen: Man kann es abschalten, im Notfall über about:config.
Verstehe die Leute nicht, die ihre Passwörter ausgerechnet im Browser verwalten…
Warum? Firefox Lockwise ist ein Passwortmanager wie jeder andere, nur aktuell noch mit ein paar weniger Funktionen.
schon klar. aber die notwendigkeit, die paswörter ausgerechnet von derselben software verwalten zu lassen, mit der ich mich für sicherheitslücken maximal (weil permanent neue seiten ladend) exponiere, erschliesst sich mir einfach nicht.
Logindaten auf Webaeiten vielleicht? Mache ich z.B. bei unwichtigen Logins so. Wichtigs landen in einem Tresor.
Auch dafür ist ein dedizierter Passwortmanager wie z.B. Keepass oder Bitwarden sinnvoll.
Kann ja trotzdem über eine Browser-Integration verfügen.
Habe ich auch. Aber für simple Foren nutze ich den internen, da es leichter ist dies auf den Geraten synchron zu halten.
Da kommem mir Fragen auf. Wie soll die Biometrie des Rechnera helfen? Wenn jemand Zugang zum Rechner hat, hat er dann auch Zugang zum PW Manager.
PW vom System: wenn das so stimmt, muß entweder das PW auslesbar sein, oder aber Zugriff erfolgt bei entsperrtem System. Aber dann ist es doch nocht sicherer als ohne.
Das Szenario ist: Ich arbeite am PC, gehe kurz nen Kaffee holen, währenddessen luschert ein Besucher auf den entsperrten Rechner – dann hilft es schon, wenn die Biometrie-Abfrage kommt.
Wenn man den PC verlässt, drückt man entweder Win+L oder es ist einem egal, dass Andere an den Rechner kommen. In beiden Fällen ist eine zusätzliche Sicherung durch den Browser einfach überflüssig.
Aus Herstellersicht ist es nicht überflüssig.
Man sollte vermeiden zu denken das gerade im Bereich Sicherheit hier ein Hersteller etwas gutes „für“ den Kunden machen möchte.
Die Motivation dahinter ist schlichter Selbstschutz der Firma vor Klagen durch geschädigte Anwender.
Dabei muss man bedenken das eben sehr viele IT Firmen in den USA beheimatet sind und dort eine recht teure und klagefreudige Gesellschaft herrscht.
Kurz gesagt sorgt der Hersteller dafür das „Du“ die Firma nicht dafür verklagen kannst wenn deine Passwörter bekannt werden, weil diese nicht ungesichert auf der Platte liegen. Sondern „Du“ musst sie explizit freigeben und damit liegt die Haftung bei dir.
Dann wäre mir ein Disclaimer „Du haftest!“ bei Installation/Update aber lieber als diese Umsetzung.
Ich spreche hier übrigens eher allgemein von Features, die den Workflow behindern. Es gibt mittlerweile schon genug sinnlose Bestätigungen, die man über den Tag so wegklickt, z.B. Cookies.
Im konkreten Fall bin ich nicht betroffen, denn ich nutze Keepass mit Integration in denBrowser. Dort habe ich allerdings auf meinen privaten Rechnern alle Bestätigungen deaktiviert, weil es mich einfach bei der Arbeit behindert.
Der Disclaimer ist rechtlich da nicht wirksam. Für eine Firma ist es besser wenn sie nachweisen kann das sie technisch alles getan hat damit Passwörter nicht frei herumliegen und von Unbefugten/Schadsoftware ausgelesen werden können.
Da sind eventuelle Klagen und Rechtssicherheit schwerwiegender als die Bedindlichkeiten der Benutzer.
Wichtig ist nur das Du eben haftest wenn etwas schief läuft und Du nicht die Firma dafür verklagen kannst.
Verstehe.
Wirklich bedauerlich, wo die Menschheit mittlerweile angekommen ist. Zur Lösung von Problemen werden immer neue Probleme geschaffen, die natürlich auch wieder gelöst werden müssen… 😉
Dem kann ich nur beipflichten.
Aber das ist ja eigentlich überall so, in jedem Bereich.
Hauptsache man kann immer jegliche Schuld von sich auf andere schieben.
Ok, hab falsch gedacht. Das erklärt die Biometrie. Wieso aber kann der Fuchs das Gerätepaßwort auslesen? Oder wie funktioniert das?
Wobei Martin völlig Recht hat, wenn ich den Rechner verlasse zum Kaffee holen wo andere rankönnten, gilt bei Windows Win-Taste-L.
Der Fuchs schickt dem BS die Anfrage, mal den User zu verifizieren. Das BS fragt den User nach dem Passwort und meldet die erfolgreiche Verifizierung an den Fuchs.
Thx