Drücken Sie „Enter“, um den Inhalte zu überspringen
Security

Warum es keine gute Idee ist, seine Keepass-Passwörter in Firefox zu importieren

Von admin am Januar 19, 2021

Firefox 85 (erscheint voraussichtlich am 26. Januar 2021) wird eine neue Möglichkeit enthalten, um Passwörter aus Keepass und Bitwarden zu importieren. Standardmäßig ist die neue Import-Funktion noch nicht aktiviert. das lässt sich aber leicht nachholen. Ich würde allerdings davon abraten. Warum?

Für einen kleinen Komfortgewinn soll man auf die Sicherheit der verschlüsselten und mit einem Master-Passwort gesicherten Keepass-Datenbank verzichten? Das ist keine gute Idee.

Mehrere Gründe, die gegen die neue Funktion sprechen

Erstens erlaubt Keepass nur den Export der gesamten Passwort-Datenbank. Es ist nicht möglich, nur einzelne Einträge auszuwählen und zu exportieren. Das heißt, bei einem Import in Firefox landen dort auch Zugangsdaten, die eigentlich nichts im Browser zu suchen haben.

Nach der Aktivierung der neuen Funktion kann eine CSV-Datei mit allen aus Keepass exportierten Zugangsdaten über die rot markierte Schaltfläche in Firefox Lockwise importiert werden.

Langjährige Keepass-Nutzer haben in der Regel mehrere hundert Einträge in ihrer Passwort-DB gespeichert. Den kompletten Übertrag dieser äußerst sensiblen Daten in Firefox sollte man sich genau überlegen.

Zweitens ist die Keepass-Datenbank meist etwa mit Advanced Encryption Standard (AES/Rijndael) verschlüsselt. Ohne Kenntnis des Master-Passworts kann niemand auf die Inhalte zugreifen. Auch der von Mozilla verwendete und in den Browser integrierte Passwort-Manager Firefox Lockwise setzt Verschlüsselung („256-Bit-Verschlüsselung„) ein.

Risiko Cloud-Synchronisation

Auf der anderen Seite ist Firefox Lockwise ein Dienst, der zur Synchronisation der Passwörter über verschiedene Systeme hinweg genutzt werden soll. Dazu wird auch ein Firefox-Konto benötigt.

Damit Ihre Zugangsdaten zum Beispiel mit Ihrem Smartphone synchronisiert werden können, müssen sie über eine Cloud übertragen werden. Wie der Sicherheitsexperte Mike Kuketz auf seiner Webseite jedoch zu recht schreibt, sollten Sie Ihre „Passwörter nur lokal ablegen und nicht irgendwelchen Clouds bzw. Fremdrechnern anvertrauen“. Dem schließe ich mich an.

Standardmäßig sind die Passwörter in Firefox Lockwise lokal auch nicht durch ein Master-Passwort gesichert. Das lässt sich zwar nachholen, aber ein Risiko bleibt es trotzdem.

Standardmäßig verlangt Firefox Lockwise kein Master-Passwort (hier „Hauptpasswort“ genannt). Das ist ein Sicherheitsrisiko.

Außerdem zeigt Firefox Lockwise „einen Warnhinweis zu Passwörtern, die von einem Datenleck betroffen und deshalb möglicherweise gefährdet sind“. Dazu greift der Browser auf die Daten von Firefox Monitor zurück. Auch wenn dabei keine Klartext-Passwörter übertragen werden, ist es eine Funktion, die vermutlich nicht jedem Nutzer bekannt ist, der eventuell beabsichtigt, seine Keepass-Passwörter in Firefox zu importieren.

Fazit

Summa summarum würde ich davon abraten, Ihre in Keepass bereits gut aufgehobenen Zugangsdaten in Firefox zu importieren. Mit Autotype bietet der Passwort-Manager zudem eine nützliche Funktion, um sich mit relativ wenig Aufwand bei einem Online-Dienst anzumelden.

Veröffentlicht in Kommentar

admin

Mehr von KommentarMehr Beiträge in Kommentar »

Gib den ersten Kommentar ab

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.