Passwörter: Lieber kompliziert + im Browser speichern oder einfacher + selbst merken?

[dark_rider]

Hallo zusammen,

was ist aus Eurer Sicht vorteilhafter: Komplizierte Passwörter, die man sich im Kopf kaum merken kann und die daher im Browser (z.B. Firefox, Chrome) gespeichert werden, oder einfachere Passwörter, die man sich dafür noch im Kopf merken kann und jedes Mal von Hand eingibt?

Wie sicher sind die Passwortspeicher der gängigen Browser überhaupt?

 

[Til]

Passwörter sind bei mir so kompliziert wie möglich und werden nicht im Browser oder gar in der Cloud gespeichert.

Von Hand eingeben kann ich die natürlich nicht mehr.

Warum nicht? Ich gebe mein je nach Version 13-18 Zeichen langes megakompliziertes Passwort problemlos von Hand ein, und das regelmäßig. Gerade das regelmäßige sorgt dafür, das es problemlos von der Hand geht.

Passwortmanagern traue ich aus Prinzip nicht. Meine Passwörter sind in meinem Kopf und nirgendwo anders.

 

[dark_rider]

Man sollte aber eben auch nicht bei verschiedenen Anbietern das gleiche Passwort verwenden, denn wenn ein Anbieter gehackt wird, kann er es mit den erbeuteten User-/Passwort-Kombis ja auch bei anderen Diensten probieren.

Passwortmanager-Software finde ich wiederum auch zu unsicher, da ich auch schon mehrfach las, dass so etwas gehackt wurde.

Externe Passwortmanager-Hardware dagegen finde zumindest ich persönlich wieder zu unpraktisch, da man entweder immer abtippen oder das Gerät für jeden Vorgang an- und wieder abstöpseln muss (denn wenn es dauerhaft verbunden ist, macht das auch nicht mehr so einen großen Unterschied zu Software).

Ganz schön komplex und viel zu bedenken und abzuwägen...

 

[B$TIStalin]

Ich benutze keepass und meine Passwörter bestehen aus einem Hauptteil der immer gleich ist + einen Dienst/Seite spezifischen Teil.

Somit habe ich überall ein anderes Passwort aber kenne trotzdem fast alle auswendig

 

[moronoxyd]

Passwortmanager-Software finde ich wiederum auch zu unsicher, da ich auch schon mehrfach las, dass so etwas gehackt wurde.

Ich denke, hier muss man unterscheiden zwischen Passwortmanagern, die die Passwörter in einer Datenbank auf Servern des Anbieters ablegen. Hier muss man dem Anbieter vertrauen, daß er die Verschlüsselung tatsächlich so implementiert hat, daß niemand, nicht mal der Anbieter selber, die Passwörter mitlesen kann. Diese Lösungen sind meist auch proprietär, so daß man hier blind vertrauen muss.
Anders ist das bei Passwortmanagern wie KeePass, die einem nur ein Tool zur Hand geben, bei denen man aber selber die Passwortdatenbank verwaltet. Hier muss man nur dem Verschlüsselungsalgorithmus vertrauen, und der ist bei KeePass quelloffen, so daß man ihn prüfen kann (entsprechendes Wissen und Zeit vorausgesetzt).

 

[Gurow]

Warum nicht? Ich gebe mein je nach Version 13-18 Zeichen langes megakompliziertes Passwort problemlos von Hand ein, und das regelmäßig. Gerade das regelmäßige sorgt dafür, das es problemlos von der Hand geht.
Passwortmanagern traue ich aus Prinzip nicht. Meine Passwörter sind in meinem Kopf und nirgendwo anders.

Das ist doch wunderbar, wenn Du Dir für jeden Account Dein "megakompliziertes Passwort" problemlos merken und von Hand eingeben kannst.
Zum einen benutze ich nur einen bestimmten Teil meiner Passwörter sehr regelmäßig, der Rest wird ab und an gebraucht. Ich denke da z.B, an Konten bei Geschäften, an Foren, Abos für Online-Dienste usw. Zum anderen sind die meisten Passwörter auf meinem Mooltipass 31 Zeichen lang (bisher die Obergrenze). Nicht jede Webseite hat die Option die Zeichen anzuzeigen, d.h. bei 31 Zeichen, nicht nur Buchstaben und Zahlen, kann man sich sehr leicht vertippen. Mir ist das schlicht und einfach viel zu mühsam. Sollte tatsächlich irgendwo ein Keylogger auf dem Rechner sein, bin ich auch auf der sicheren Seite.

Meine Festplatten sind mit mehr als 60 Zeichen langen Passwörtern, die auf Yubikeys gespeichert sind, verschlüsselt. Dazu kommt dann noch die Dekoration, also ein Teil, der vorne oder hinten angehängt wird, den auch ich mir merken kann.

Das Argument "Ich merke mir alle Passwörter im Kopf" klingt immer so furchtbar schlau, aber für die Anzahl und Länge müsste man wohl Autist sein oder ein fotographisches Gedächtnis haben. Beides trifft auf mich nicht zu.

@dark_rider
Verstehe ich nicht? Was meinst Du mit abtippen? Natürlich muss man das Gerät anstecken. Wenn das schon zu umständlich ist....
Der große Unterschied zur Software ist, dass die auf dem Rechner ist, wohingegen der Mooltipass über USB eine Tastatur emuliert.

@moronoxyd
Sehr richtig und ein wichtiger Unterschied. Die Cloud-Passwortdienste sind zudem laufend unter Beschuss. Wenn da mal ein Fehler unterläuft, dann kann man sich fast sicher sein, dass es Probleme gibt. OneLogin wurde gehackt und Last Pass ist meines Wissens daran vorbeigeschrammt, weil Google auf Lücken aufmerksam machte.

 

[Til]

... meine Passwörter bestehen aus einem Hauptteil der immer gleich ist + einen Dienst/Seite spezifischen Teil.
Somit habe ich überall ein anderes Passwort aber kenne trotzdem fast alle auswendig

So ähnlich mache ich das auch.

Bei Foren, Chats etc. reicht ein 0815-Passwort, was interessiert es mich da, ob's gehackt wird? Null.

Beim Onlinebanking kann das Login ruhig gehackt werden (gute Passwörter kann man bei den Banken ohnehin nicht vergeben), aber ohne TAN-Generator und meiner EC-Karte geht da genau nix.

Festplatten mit mehr als 60 Zeichen langen Passwörtern sichern? Sind deine persönlichen Daten wichtiger als die Daten eines Präsidenten der Vereinigten Staaten? Man kann es auch übertreiben.

Egal, wie stark man etwas sichert, es gibt immer irgendwo die Lücke, wo man die Daten abgreifen kann. Das man-in-the-middle Prinzip wurde sogar bei Fingerprintreadern angewandt, verschlüsselte Daten oder Festplatten werden auch irgendwann mal entschlüsselt. Wenn man Angriffsziel ist, ist es nur eine Frage der Mittel, bis man an deine Daten kommt.

Ansonsten ist es relativ wurscht, da reichen meines Erachtens "normal komplizierte" Passwörter.

 

[Pferdle]

Bei Foren, Chats etc. reicht ein 0815-Passwort, was interessiert es mich da, ob's gehackt wird? Null.

Nicht unbedingt 0815, aber relativ einfach.
Für diverse "unwichtige" Seiten habe ich auch das gleiche Passwort.

Kompliziert ist auch relativ. Als Beispiel Name der Großmutter+deren Geburtsdatum(oder Todestag) sollte für den wissenden einfach sein, aber das hackt ein Fremder nicht.
Mit etwas Erfindergeist kann man sich selbst komplizierte Passwörter merken. Da ist jede Art der Speicherung unsicherer.

 

[Gurow]

Festplatten mit mehr als 60 Zeichen langen Passwörtern sichern? Sind deine persönlichen Daten wichtiger als die Daten eines Präsidenten der Vereinigten Staaten? Man kann es auch übertreiben.

Egal, wie stark man etwas sichert, es gibt immer irgendwo die Lücke, wo man die Daten abgreifen kann. Das man-in-the-middle Prinzip wurde sogar bei Fingerprintreadern angewandt, verschlüsselte Daten oder Festplatten werden auch irgendwann mal entschlüsselt. Wenn man Angriffsziel ist, ist es nur eine Frage der Mittel, bis man an deine Daten kommt.

Mir ist klar, dass die Wahrscheinlichkeit, dass genau ich Ziel eines Hackerangriffs werde, sehr gering ist.

Ich habe gerade ein Déjà vu. Wir sind hier schon wieder bei Argumentationen, die in Sachen IT-Sicherheit oder auch bei der Datensammelei laufend aufgefahren werden. Weil sowieso alles irgendwann geknackt werden kann, brauche ich mich gar nicht erst anstrengen. Ist eh sinnlos. Mag letztlich stimmen, aber ganz so einfach will ich es mir dann aber doch nicht machen.

Für mich ist das eine theoretische Übung, wie früher der Feueralarm in der Schule oder die Erste Hilfe beim Führerschein. Ich hoffe, dass ich das nie brauche, aber falls doch, dann bin ich etwas darauf vorbereitet.

Warum soll ich meine Festplatte mit 10 Zeichen verschlüsseln, wenn ich auch 60+ nehmen kann? So oder so brauche ich meinen Yubikey nur kurz berühren und er spuckt das Passwort aus, ob nun 10 oder 60 Zeichen. Gleiches gilt für die anderen Passwörter. Es kostet mich keine Anstrengung, die Qualität zu erhöhen. Warum also nicht ausreizen?

Starke Passwörter zu verwenden ist ja nur eine Sache, die sich dank Keepass, Mooltipass und Konsorten im Handumdrehen und ohne große Vorkenntnis umsetzen lässt. Größeres Interesse hätte ich an verschlüsselter Kommunikation, nicht weil meine Gespräche wichtiger sind, als die des Präsidenten der Vereinigten Staaten, sondern weil ich gerne selbst darüber bestimmen möchte, wer daran teilnimmt und wer nicht. Geht aber nicht, weil jeder in etwa genau so argumentiert, wie Du.

Ähnliches gilt für andere Maßnahmen. Im Grunde interessiere ich mich ein Stück weit für ein sehr weites und komplexes Feld und bilde mich durch Lesen und Probieren etwas weiter. Auf völlig anderen Gebieten mache ich das auf die gleich Weise. Um mehr geht es gar nicht.

 

[Schwartz]

Random Passwörter, alle gespeichert in KeePass und dann nochmal im Browser. Denn der verschlüsselt auch. Sowohl Firefox als auch Chrome tun das. Wenn ich der Software auf meinem Rechner nicht vertrauen kann, kann ich mir auch gleich die Kugel geben. Es geht also sowohl komfortabel als auch mit 20+ Zeichen Buchstabensalat.

Das einzige wo ich mich unwohl fühlen würde wäre Cloud-Dienste für Passwörter zu verwenden.. da gab's schon Präzedenzfälle.

 

[Til]

Ein wirklich richtiges Passwort benutze ich bei Amazon, Ebay und Paypal, da geht es dann halt direkt um Geld. Bei der Bank hat man den TAN-Generator.

Am einfachsten finde ich wirklich immer noch die Methode mit den Anfangsbuchstaben eines Satzes, garniert mit Sonderzeichen, Umlauten und Zahlen, gerne ab 12 Zeichen aufwärts. Mit Brute Force macht man da gar nichts mehr, und ein Passwortmanager wird ebenfalls nicht benötigt.

Solche Tutorials wie hier findet man doch überall: https://www.uni-due.de/zim/services/sicherheit/sicheres_passwort.shtml

 

[robiiii]

Ich bin seit einigen Jahren mit 1Password unterwegs. Die Cloudlösung und das breit gefächerte Angebot an Apps waren für mich überzeugend. Leider etwas kostspielig, aber es war mir leid einfache Passwörter im Browser zu speichern.. Seit 1Password nutze ich fast nur noch zufallsgenerierte Passwörter die den höchsten angebotenen Sicherheitsstandard unterstützen. Für die wichtigsten Dienste vergebe ich von Zeit zu Zeit neue Passwörter...

 

[dark_rider]

@dark_rider
Verstehe ich nicht? Was meinst Du mit abtippen? Natürlich muss man das Gerät anstecken. Wenn das schon zu umständlich ist....
Der große Unterschied zur Software ist, dass die auf dem Rechner ist, wohingegen der Mooltipass über USB eine Tastatur emuliert.

Danke für die Info mit der USB-Tastatur-Emulation. Aber: Zähl doch mal mit, wie oft pro Tag Du Passwörter eingibst (Oder speicherst Du viele Logins in Cookies und bleibst dauerhaft eingelogt? Das würde dann wieder nicht zum restlichen Sicherheitskonzept passen.). Steckst Du da wirklich z.B. 10x am Tag Deinen Passwortkasten an und wieder ab? Da leiert ja allein schon der USB-Port irgendwann aus...

Und: Musst Du dann auf einem Display der Box jedes Mal das passende Passwort auswählen, oder ist da ein Browser-Plugin oder eine andere Software, die das passende Passwort anhand der aktuellen Website oder des aktuellen Programms automatisch vom Kasten zieht? Falls Software: Die wäre ja auch wieder ein Angriffspunkt.

Letzte Frage: Gibt es ein Backup, falls der Multipass mal die Grätsche macht?

Edit, zum Firefox, Mozilla schreibt dazu:
https://support.mozilla.org/de/kb/p...hern-loeschen-aendern#w_passwairter-schaktzen

Obwohl Firefox mit der Passwortverwaltung Ihre Benutzernamen und Passwörter in einem verschlüsselten Format auf Ihrer Festplatte speichert, kann sich jemand Zugriff auf Ihren Computer verschaffen und die Passwörter lesen oder verwenden.

Das geht sogar ganz einfach in den Einstellungen, einfach die gespeicherten Zugangsdaten anzeigen und dann "Passwörter anzeigen".
Deshalb sollte man sie mit einem Masterpasswort schützen:
https://support.mozilla.org/de/kb/Gespeicherte-Passwoerter-mit-einem-Master-Passwort-schuetzen

Nun die Frage: Ist das sicher? Theoretisch wahrscheinlich schon, aber vor Bugs ist man ja auch bei Firefox nie gefeit. Was mich vor allem nachdenklich stimmt: Firefox ist ein gängiger Browser und damit ein Angriffsziel, und dessen Passwortmanager erst recht. Ist ein theoretisch gut geschützter, aber als solcher verbreiteter und bekannter Ort für Passwörter daher sicherer als eine selbstgebastelte Lösung (z.B. alle Passwörter in eine Textdatei und diese dann mit einem Verschlüsselungsprogramm selbst verschlüsseln), nach der wahrscheinlich kaum ein Hacker gezielt sucht? Weitaus komfortabler ist Firefox bestimmt.

 

[Gurow]

Danke für die Info mit der USB-Tastatur-Emulation. Aber: Zähl doch mal mit, wie oft pro Tag Du Passwörter eingibst (Oder speicherst Du viele Logins in Cookies und bleibst dauerhaft eingelogt? Das würde dann wieder nicht zum restlichen Sicherheitskonzept passen.). Steckst Du da wirklich z.B. 10x am Tag Deinen Passwortkasten an und wieder ab? Da leiert ja allein schon der USB-Port irgendwann aus... Und: Musst Du dann auf einem Display der Box jedes Mal das passende Passwort auswählen, oder ist da ein Browser-Plugin oder eine andere Software, die das passende Passwort anhand der aktuellen Website oder des aktuellen Programms automatisch vom Kasten zieht? Falls Software: Die wäre ja auch wieder ein Angriffspunkt. Letzte Frage: Gibt es ein Backup, falls der Multipass mal die Grätsche macht?

Keine Ahnung, das variiert natürlich. Es gibt ein paar Webseiten inklusive Account/Passwort, die ich sozusagen in einem Rutsch besuche, aber ansonsten stecke ich das Gerät in der Tat meist dann an, wenn ich es brauche.
Ich benutze das Gerät jetzt knapp 10 Monate und für mich ist das mittlerweile völlig normal. Der USB-Port ist noch nicht ausgeleiert, übrigens passen das Zündschloss an meinem Auto und der Wohnungsschlüssel zum Glück noch. ;-)

Ich kann mittels eines Browser Add-ons namens Moolticute das Gerät dazu bringen, mir bei jeder hinterlegten Seite das Passwort anzubieten, welches ich dann mit einem Klick auf das Scrollrad bestätige.
Ich kann natürlich die verschlüsselte Datenbank (AES-256) exportieren, die Smartcards klonen, die die Schlüssel der Datenbank enthalten. Ich kann auch eine „knock detection“ aktivieren die über ein im Mooltipass eingebautes Accelerometer funktioniert, dann kann man sich durch ein Klopfen einloggen.

Wenn ich sehr viele Passwörter habe, kann man sich Favoriten anlegen. Ich muss mit einer Smartcard nicht alle Passwörter auf einmal entsperren, sondern kann das z.B. für mehrere Benutzer (in der Familie) einrichten.
Das Browser-Addon habe ich für den Firefox getestet und es ist mittlerweile sehr gut geworden. Die anfänglichen Probleme sind nicht mehr vorhanden.

Hier noch ein Bericht, der weitere Fragen beantworten sollten:
https://knodderdachs.de/2017/07/16/mooltipass-mini-meine-erfahrungen/

 

[moronoxyd]

Der USB-Port ist noch nicht ausgeleiert, übrigens passen das Zündschloss an meinem Auto und der Wohnungsschlüssel zum Glück noch. ;-)

Der Hinweis ist nicht so lächerlich, wie du tust. USB-Anschlüsse sind nur auf eine gewisse Anzahl von Steckvorgängen ausgelegt.

Je nachdem, wie oft man am Tag Passwörter eingibt, kommen schon eine gute Anzahl von Steckvorgängen zusammen. Mal eine Beispielrechnung: 10 Passwörter am Tag, 300 Tage Nutzung im Jahr machen 3000 Steckvorgänge im Jahr. Wenn der USB-Port auf 10000 Steckvorgänge ausgelegt ist (das war m.E. etwas in der Größenordnung) ist das Risiko eines ausfallenden USB-Ports nach 3 Jahren nicht mehr zu vernachlässigen. Ich weiß nicht, wie es bei dir ist, aber ich nutze meine Notebooks/Computer gerne mehr als 3 Jahre.

Ich kann mittels eines Browser Add-ons namens Moolticute das Gerät dazu bringen, mir bei jeder hinterlegten Seite das Passwort anzubieten, welches ich dann mit einem Klick auf das Scrollrad bestätige.

D.h. ein Browser-Plugin kann das Gerät beeinflussen? Auf Wiedersehen, Sicherheit!

 

[goemichel]

Hier noch ein Bericht, der weitere Fragen beantworten sollten:

Der Bericht ist klasse. Er beschwert sich bei einem Gerät, das er mit einer VIERstelligen PIN "sichert", dass er nur 31stellige Passwörter eingeben kann...

Meine Passwörter merke ich mir - sind allerdings auch alles "Abwandlungen" eines Ursprungspasswortes. 12 Stellen mit Groß- und Kleinbuchstaben/Ziffern/Sonderzeichen. Da brauchts schon etliche hundert Jahre, um eines mit bruteforce zu knacken.

 

[Gurow]

Der Hinweis ist nicht so lächerlich, wie du tust. USB-Anschlüsse sind nur auf eine gewisse Anzahl von Steckvorgängen ausgelegt.

Ich steig jetzt mal nicht auf Deine weiteren Formulierungen ein.
Ich weiß nicht woher diese Größenordnung kommt, aber selbst wenn das so sein sollte, muss das nicht eintreten. Ich mache mir deshalb jedenfalls keine Sorgen. Ein Drittel hab ich ja bald rum, ich melde mich in 2 Jahren diesbezüglich nochmal,

D.h. ein Browser-Plugin kann das Gerät beeinflussen? Auf Wiedersehen, Sicherheit!

Auch da: man *kann* das Plugin benutzen. Inwieweit das die Sicherheit beeinflusst, kann ich aus dem Stegreif nicht sagen. Im Zweifel einfach lassen. "Auf Wiedersehen, Sicherheit" ist mir zu schnell geschossen und vor allem zu billig.

@goemichel
Du vergisst, dass man die 4stellige PIN, die nicht nur aus Zahlen besteht, sondern auch mit Buchstaben kombiniert werden kann, nur 3 (oder 4, ich glaube es waren 3 nach dem Fehlversuch) Mal falsch eingeben kann. Du brauchst außerdem das Gerät und die Smartcard dazu. Was ist daran so unsicher?

 

[dark_rider]

USB-Anschlüsse sind nur auf eine gewisse Anzahl von Steckvorgängen ausgelegt.

Je nachdem, wie oft man am Tag Passwörter eingibt, kommen schon eine gute Anzahl von Steckvorgängen zusammen. Mal eine Beispielrechnung: 10 Passwörter am Tag, 300 Tage Nutzung im Jahr machen 3000 Steckvorgänge im Jahr. Wenn der USB-Port auf 10000 Steckvorgänge ausgelegt ist (das war m.E. etwas in der Größenordnung) ist das Risiko eines ausfallenden USB-Ports nach 3 Jahren nicht mehr zu vernachlässigen. Ich weiß nicht, wie es bei dir ist, aber ich nutze meine Notebooks/Computer gerne mehr als 3 Jahre.

Beim herkömmlichen Typ A (dürften die meisten TPs haben) sind es gerade mal 1.500 Steckvorgänge:
https://www.heise.de/newsticker/mel...yp-C-Stecker-fuer-USB-3-1-ist-da-2382891.html

Buchsen und Stecker müssen zudem für mindestens 10.000 Steckvorgänge ausgelegt sein wie bisher schon Micro-USB, während Typ-A-Stecker gerade einmal 1500 Steckvorgänge aushalten müssen.

Deshalb benutze ich für Geräte, die ich oft an- und abstöpsele (Speichersticks, Fotokamera usw.) ein USB-Hub oder ein Verlängerungskabel. Dann ist im Ernstfall nur der Port am Hub/Kabel kaputt und nicht der auf dem TP-Motherboard.

 

[moronoxyd]

Ich steig jetzt mal nicht auf Deine weiteren Formulierungen ein.
Ich weiß nicht woher diese Größenordnung kommt, aber selbst wenn das so sein sollte, muss das nicht eintreten.

Stimm, muss nicht eintreten. Aber (gerade auch unter dem Gesichtspunkt, daß laut dark_riders Link sogar nur 1500 Steckvorgänge vorgesehen sind) ist das ein Punkt, der durchaus Relevanz hat. Insofern ist dein Kommentar dazu unnötig abwertend gewesen.

Auch da: man *kann* das Plugin benutzen. Inwieweit das die Sicherheit beeinflusst, kann ich aus dem Stegreif nicht sagen. Im Zweifel einfach lassen. "Auf Wiedersehen, Sicherheit" ist mir zu schnell geschossen und vor allem zu billig.

Browser sind eines der beliebtesten Einfallstore für Schädlinge. Daher ist ein Browser-Plugin, das auf den Passwortspeicher zugreifen kann, ein ernstzunehmendes potentielles Problem.

 

[Gurow]

Deshalb benutze ich für Geräte, die ich oft an- und abstöpsele (Speichersticks, Fotokamera usw.) ein USB-Hub oder ein Verlängerungskabel. Dann ist im Ernstfall nur der Port am Hub/Kabel kaputt und nicht der auf dem TP-Motherboard.

Das ist doch eine super Lösung!
Gedanken hab ich mir darüber noch nie wirklich gemacht und außer bei einem T400, das ja für die schlechten USB-Zungen bekannt ist, hatte ich noch nie Probleme.

Nochmal zum Browser-Addon: Das nennt sich Mooltipass Extension. Moolticute ist ein Programm, das man auf dem Rechner installieren kann, um mit dem Mooltipass zu interagieren und weitere Funktionen zu nutzen. Das hatte ich verwechselt.

Dazu aus dem Arch-Wiki:
"In order to combine security of such policy and usability people came with software password managers like KeePass. Unfortunately, such solution implies that all credentials remains in computer memory, so it could eventually be stolen by a malicious software.
Mooltipass is an external device, on which credential are stored encrypted using AES-CTR and a key of 256 bits stored on an pin-locked smartcard. When plugged, the Mooltipass emulates an HID device and will act like a keyboard to send your credentials information to the targeted application. Even if an attacker is able to sniff at some point the communication between the device and the host it is likely that he will not be able to gather all credentials nor to inject its own data."

Die Frage, wie sicher die Extension und App sind, wurde auch auf Reddit gestellt:
https://www.reddit.com/r/mooltipass/comments/78mxcf/how_safe_is_it_to_install_app_and_extension_on/

- - - Beitrag zusammengeführt - - -

Mein Kommentar ist vielleicht flapsig gewesen, jedoch nicht abwertend.

Browser sind eines der beliebtesten Einfallstore für Schädlinge. Daher ist ein Browser-Plugin, das auf den Passwortspeicher zugreifen kann, ein ernstzunehmendes potentielles Problem.

Das ist mir klar, aber der Mooltipass funktioniert eben anders, als emuliertes Keyboard. Es wird meines Wissens nichts zwischengespeichert.
Ich schaue mal, ob ich dazu noch was Konkretes finde.

 

[moronoxyd]

Das ist mir klar, aber der Mooltipass funktioniert eben anders, als emuliertes Keyboard. Es wird meines Wissens nichts zwischengespeichert.
Ich schaue mal, ob ich dazu noch was Konkretes finde.

Du hast gesagt, daß die Browser-Erweiterung basierend auf der gerade angewählten Webseite den Mooltipass dazu bringen kann, das passende Passwort vorauszuwählen. D.h. die Browser-Erweiterung kann irgendwie Daten an den Mooltipass schicken. D.h Angreifer, die die Erweiterung irgendwie übernehmen oder kontrollieren können, können Daten an den Mooltipass schicken. Das einzige, was jetzt noch fehlt, ist ein Weg für so einen Schädling, die Bestätigung der Auswahl, die du normalerweise per Hand vornimmst, zu simulieren, und schon kann ein Schädling potentiell deinen ganze Passwortdatenbank auslesen.

Das klingt für mich nicht viel sicherer als andere Lösungen.