Wie alle anderen Browser hat auch Firefox einen Login Manager. Wenn man auf einer Webseite Login Credentials eingibt, fragt Firefox standardmäßig, ob er die Zugangsdaten für diese Webseite speichern soll. Zukünftig wird dann beim nächsten Aufruf der Webseite das Login Formular automatisch mit den passenden Daten ausgefüllt.
Wenn man in den Einstellungen ein Masterpasswort setzt, werden die Passwörter mit AES verschlüsselt (nur die Passwörter, nicht die Usernamen und Webseiten!)
Risiken bei der Nutzung des Firefox Passwortspeichers
Einige Trackingdienste exploiten die build-in Passwortspeicher von Browsern, indem ihre Trackingscripte ein verdecktes Login Formular generieren. Wenn der Surfer einen Account bei der Webseite hat, wird das Formulare vom Browser automatisch ausgefüllt. Die Trackingscripte interessieren sich für vor allem den Usernamen. Ein MD5-Hash des Usernamen wird dann an den Trackingserver gesendet und als nicht löschbare, eindeutige Tracking-ID genutzt.
Die Studie Web trackers exploit browser login managers vom Dez. 2017 hat 1.110 Webseiten gefunden, bei denen diese Trackingtechnik in-the-wild eingesetzt wird.
- Mit XSS-Angriffen können ebenfalls verdeckte Login Formulare generiert werden, die der Browser automatisch ausfüllt, wenn man einen Account für diese Webseite hat. Das Konzept ist das gleiche wie bei den Trackingdiensten. Allerdings muss der Angreifer sein Script ohne Unterstützung des Webmasters in die Webseite hinein manipulieren. Diese Angreifer wollen nicht nur den Usernamen als eindeutige ID sondern auch das Passwort abgreifen.
- Es gibt seit Jahren immer wieder Viren und Trojaner, die es gezielt auf die Passwortdatenbank von Firefox abgesehen haben und diese Datenbank zu ihrem Master of Control senden. Deshalb sollten die Passwörter unbedingt mit einem Masterpasswort gesichert werden. Das schützt die Passwörter, der Angreifer erhält aber trotzdem die Informationen, welche Accounts das Opfer auf welchen Webseiten nutzt.
Schutz gegen die Risiken
- Wer kompromisslos auf strenge Privatsphäre Wert legt, kann den Passwortspeicher von Firefox deaktivieren und memorisierbare Passwörter verwenden oder Passwortspeicher wie KeePassXC. Zur Deaktivierung des Passwortspeichers setzt man folgenden Wert:
signon.rememberSignons = false
Im "Private Browsing Mode" werden ebenfalls keine Login Credentials gespeichert.
- Wer den built-in Passwortspeicher verwenden möchte, kann das Risiko verringern, indem man das automatische Ausfüllen von Formularen deaktiviert. Dann muss man die ersten Buchstaben des Usernames in das Formular schreiben und kann in dem sich öffnenden Drop-Down Menü den Usernamen und Passwort übernehmen.
Das moderate Verhalten aktiviert man unter "about:config" mit folgenden Werten:
signon.rememberSignons = true
signon.formlessCapture.enabled = false
signon.autofillForms = false