Firefox 85 (erscheint voraussichtlich am 26. Januar 2021) wird eine neue Möglichkeit enthalten, um Passwörter aus Keepass und Bitwarden zu importieren. Standardmäßig ist die neue Import-Funktion noch nicht aktiviert. das lässt sich aber leicht nachholen. Ich würde allerdings davon abraten. Warum?
Für einen kleinen Komfortgewinn soll man auf die Sicherheit der verschlüsselten und mit einem Master-Passwort gesicherten Keepass-Datenbank verzichten? Das ist keine gute Idee.
Mehrere Gründe, die gegen die neue Funktion sprechen
Erstens erlaubt Keepass nur den Export der gesamten Passwort-Datenbank. Es ist nicht möglich, nur einzelne Einträge auszuwählen und zu exportieren. Das heißt, bei einem Import in Firefox landen dort auch Zugangsdaten, die eigentlich nichts im Browser zu suchen haben.

Langjährige Keepass-Nutzer haben in der Regel mehrere hundert Einträge in ihrer Passwort-DB gespeichert. Den kompletten Übertrag dieser äußerst sensiblen Daten in Firefox sollte man sich genau überlegen.
Zweitens ist die Keepass-Datenbank meist etwa mit Advanced Encryption Standard (AES/Rijndael) verschlüsselt. Ohne Kenntnis des Master-Passworts kann niemand auf die Inhalte zugreifen. Auch der von Mozilla verwendete und in den Browser integrierte Passwort-Manager Firefox Lockwise setzt Verschlüsselung („256-Bit-Verschlüsselung„) ein.
Risiko Cloud-Synchronisation
Auf der anderen Seite ist Firefox Lockwise ein Dienst, der zur Synchronisation der Passwörter über verschiedene Systeme hinweg genutzt werden soll. Dazu wird auch ein Firefox-Konto benötigt.
Damit Ihre Zugangsdaten zum Beispiel mit Ihrem Smartphone synchronisiert werden können, müssen sie über eine Cloud übertragen werden. Wie der Sicherheitsexperte Mike Kuketz auf seiner Webseite jedoch zu recht schreibt, sollten Sie Ihre „Passwörter nur lokal ablegen und nicht irgendwelchen Clouds bzw. Fremdrechnern anvertrauen“. Dem schließe ich mich an.
Standardmäßig sind die Passwörter in Firefox Lockwise lokal auch nicht durch ein Master-Passwort gesichert. Das lässt sich zwar nachholen, aber ein Risiko bleibt es trotzdem.

Außerdem zeigt Firefox Lockwise „einen Warnhinweis zu Passwörtern, die von einem Datenleck betroffen und deshalb möglicherweise gefährdet sind“. Dazu greift der Browser auf die Daten von Firefox Monitor zurück. Auch wenn dabei keine Klartext-Passwörter übertragen werden, ist es eine Funktion, die vermutlich nicht jedem Nutzer bekannt ist, der eventuell beabsichtigt, seine Keepass-Passwörter in Firefox zu importieren.
Fazit
Summa summarum würde ich davon abraten, Ihre in Keepass bereits gut aufgehobenen Zugangsdaten in Firefox zu importieren. Mit Autotype bietet der Passwort-Manager zudem eine nützliche Funktion, um sich mit relativ wenig Aufwand bei einem Online-Dienst anzumelden.
Gib den ersten Kommentar ab