Wie alle anderen Browser hat auch Firefox einen Login Manager. Wenn man auf einer Webseite Login Credentials eingibt, fragt Firefox standardmäßig, ob er die Zugangs­daten für diese Webseite speichern soll. Zukünftig wird dann beim nächsten Aufruf der Webseite das Login Formular automatisch mit den passenden Daten ausgefüllt. Wenn man in den Einstellungen ein Masterpasswort setzt, werden die Passwörter mit AES verschlüsselt (nur die Passwörter, nicht die Usernamen und Webseiten!)

Risiken bei der Nutzung des Firefox Passwortspeichers

  1. Einige Trackingdienste exploiten die build-in Passwort­speicher von Browsern, indem ihre Tracking­scripte ein verdecktes Login Formular generieren. Wenn der Surfer einen Account bei der Webseite hat, wird das Formulare vom Browser automatisch aus­gefüllt. Die Tracking­scripte interessieren sich für vor allem den User­namen. Ein MD5-Hash des User­namen wird dann an den Tracking­server gesendet und als nicht löschbare, eindeutige Tracking-ID genutzt.

    Die Studie Web trackers exploit browser login managers vom Dez. 2017 hat 1.110 Webseiten gefunden, bei denen diese Trackingtechnik in-the-wild eingesetzt wird.

  2. Mit XSS-Angriffen können ebenfalls verdeckte Login Formulare generiert werden, die der Browser automatisch ausfüllt, wenn man einen Account für diese Webseite hat. Das Konzept ist das gleiche wie bei den Trackingdiensten. Allerdings muss der Angreifer sein Script ohne Unterstützung des Webmasters in die Webseite hinein manipulieren. Diese Angreifer wollen nicht nur den Usernamen als eindeutige ID sondern auch das Passwort abgreifen.
  3. Es gibt seit Jahren immer wieder Viren und Trojaner, die es gezielt auf die Pass­wort­datenbank von Firefox abgesehen haben und diese Datenbank zu ihrem Master of Control senden. Deshalb sollten die Passwörter unbedingt mit einem Masterpasswort gesichert werden. Das schützt die Passwörter, der Angreifer erhält aber trotzdem die Informationen, welche Accounts das Opfer auf welchen Webseiten nutzt.

Schutz gegen die Risiken

Lizenz: Public Domain