Mozilla Firefox und Thunderbird: Master-Passwort gaukelt Sicherheit teilweise vor

Mozilla Firefox nutzt laut aktuellen Berichten bereits seit neun Jahren ein Master-Passwort, das Sicherheit eigentlich größtenteils nur vorgaukele. Das liegt daran, dass die Verschlüsselung offenbar sehr leicht zu knacken ist. Das Problem betrifft auch Mozilla Thunderbird. Beide Anwendungen erlauben euch über die Einstellungen ein Master-Passwort anzugeben, das dann die Verschlüsselung generell für euch absichert. Mozilla wurde für dieses Feature ehemals viel gelobt, muss sich nun aber Kritik gefallen lassen.

So hat Wladimir Palant, Entwickler der Browser-Erweiterung AdBlock Plus, erklärt, dass sich das Master-Passwort leicht über Brute-Force-Methoden knacken lasse. Grob gesprochen ist die SHA-1-Funktion viel zu unsicher, da es hier nur eine einzige Wiederholung gebe. Sinnvoll seien aber mindestens 10.000 Iterations. Programme wie LastPass nutzen sogar 100.000, um die Sicherheit zu gewährleisten, was die Maßstäbe eventuell verdeutlicht.

Laut Palant sei es einem versierten Hacker darum vermutlich möglich, das jeweilige Master-Passwort eines Anwenders in Firefox oder Thunderbird in weniger als einer Minute zu knacken. Dabei ist das Problem schon seit neun Jahren bekannt: Kurz nach Einführung des Master-Passworts in Firefox und Thunderbird beklagte sich der Entwickler Justin Dolske im Mozilla Bug Tracker über das Thema. Gegenmaßnahmen seitens Mozilla blieben aber aus.

Erst jetzt hat Mozilla reagiert und mitgeteilt, dass man an einem Fix arbeite, welcher in Lockbox integriert werden solle. Aktuell kann man die Schwäche bei Mozillas Implementierung eines Master-Passwortes zumindest abmildern, wenn man ein besonders langes Passwort wählt. Laut Palant wäre die beste Lösung für die Zukunft aber, wenn Mozilla sich von SHA1 verabschieden und stattdessen auf Argon2 setzen würde. Dazu sind aber derzeit keinerlei Pläne bekannt.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

Hauptberuflich hilfsbereiter Technik-, Games- und Serien-Geek. Nebenbei Doc in Medienpädagogik und Möchtegern-Schriftsteller. Hofft heimlich eines Tages als Ghostbuster sein Geld zu verdienen oder zumindest das erste Proton Pack der Welt zu testen. Mit geheimniskrämerischem Konto auch bei Facebook zu finden.

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

13 Kommentare

  1. Saft laden!

  2. Wie wird das Masterpasswort bei den Passwortsafes verschlüsselt?

  3. Es setzt sich ziemlich sicher niemand an meinen PC und versucht meine Passwörter zu Bruteforcen. Das Masterpasswort habe ich lediglich als kleine Sicherheit, dass sich zu neugierige Personen am PC nicht mal eben schnell die Passwörter sämtlicher Internetseiten anzeigen lassen können.

  4. Wenn eh ein Fremder Zugang zum System hat sind die Sorgen ganz andere … da liegt der Hund wesentlich tiefer begraben.

  5. Danke @Dieser, meine rede.
    Hier wird nur bashing betrieben. Bis jemand an mein Firefox kommt, sind wie @Al CiD bereits sagte… sorgen ganz andere!

  6. Oha, eine Person mit drei Persönlichkeiten?

  7. Hans Günther says:

    Der eingebaute Passwort-Manager von Firefox ist seit Version 57 nicht mehr wirklich zu gebrauchen!
    Mittels des Addons „Saved Password Editor“ konnte man vor Version 57 neue Einträge generieren, falls Fx die Daten nicht automatisch speichert (was oft der Fall ist).
    Dies ist nun leider nicht mehr möglich.

    Deswegen wollte ich nun auf Enpass umsteigen.
    Leider musste ich aber feststellen, dass Fx für Android unter Nougat nicht in der Lage ist, Autofill Daten von irgendeinem externen Password Manager zu empfangen…
    Auch das neue Autofill Feature von Oreo wird wohl noch nicht unterstützt!

    Und Lockbox werde ich wohl auch nicht nutzen, da dort die Passwörter bei Mozilla gespeichert werden…

  8. Mike Fedders says:

    EINFACHER TRICK: Niemals das GANZE Passwort in FF speichern, sondern nur einen Teil davon, und die Passwörter beim Login um den fehlenden Teil ergänzen, der ja dann für alle PW gleich sein kann, nur 1 Zeichen oder beliebig viele Zeichen. Natürlich darf man die PW bei der anschließenden Nachfrage nicht updaten lassen… Sehr einfach, aber wirkungsvoll, und benötigt keine Addons.

    • BrotAmStiel says:

      Hacker hassen diesen Trick..

    • Naja, wäre es nur ein Zeichen, wäre die Sicherheit äußerst gering.
      Warum nicht gleich einen Passwortmanager wie KeePass verwenden?

      • Mike Fedders says:

        Weil ich so auch mit meinem FF auf dem Smartphone, und im Büro syncen kann, wo ich keine „eigene“ Software auf meinem Laptop installieren darf, streng genommen nicht mal FF Addons…

  9. Natürlich ist es traurig, dass Firefox SHA-1 verwendet, es ist noch trauriger, dass Firefox es mit einer Runde verwendet, und dass sie es heute noch tun, ist auch traurig. Aber immerhin kann niemand sagen, er hätte es nicht gewusst. Firefox ist Open Source, Anleitungen, das Passwort zu knacken habe ich schon im letzten Jahrzehnt gefunden (und ausprobiert), als ich mal mein Master Passwort beim setzen zwei Mal falsch eingegeben hatte.

    Wer wichtige Passwörter dort speichert (übrigens würde ich es auch in Chrome nicht machen), sollte sich ernsthaft Gedanken machen, ob ein KeePass oder dergleichen nicht vielleicht der bessere Aufbewahrungsort ist.

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor. In jedes Thema Politik einbringen ist nicht erwünscht.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.