Sicherheitswarnung für Nutzer von Firefox Accounts / Sync
Mozilla hat eine Sicherheitswarnung für Nutzer von Firefox Accounts herausgegeben. Demnach haben Angreifer versucht, Zugang zu Firefox Accounts mit Zugangsdaten zu erlangen, welche auf anderen Seiten gestohlen worden sind. Für Nutzer, welche für alles die gleichen Zugangsdaten verwenden, waren diese Versuche erfolgreich.
Wie Mozilla bekannt gegeben hat, wurden verdächtigte Login-Aktivitäten in die Firefox Accounts festgestellt. Die Firefox Accounts werden unter anderem zur Authentifizierung in Firefox Sync oder für die Add-on-Webseite addons.mozilla.org verwendet.
Es wurde nicht etwa auf Mozillas Servern eingebrochen, stattdessen ist es umgekehrt so, dass versucht wurde, sich Zugang mit Logindaten zu verschaffen, welche von anderen Webseiten gestohlen worden sind. Wenn nun ein Nutzer auf einer Seite, von welcher Daten gestohlen worden sind, und für den Firefox Account die gleichen Zugangsdaten verwendet, konnte sich erfolgreich Zugang verschafft werden.
Dies unterstreicht noch einmal, wie wichtig es ist, überall unterschiedliche Zugangsdaten zu verwenden. Ein gemeinsames Passwort für alle Webseiten bietet keinen ausreichenden Schutz.
Wird der Firefox Account auch zur Synchronisation der Passwörter verwendet, besteht bei erfolgreichem Eindringen natürlich auch Zugang zu allen gespeicherten Zugangsdaten.
Mozilla hat bereits die Passwörter für alle Nutzer zurückgesetzt, bei denen ein Einbruch festgestellt worden ist, und diese informiert. Die Untersuchung dauert noch an, so dass es sein kann, dass Mozilla von weiteren Nutzern die Passwörter zurücksetzen wird.
Auf einer eigenen Support-Seite gibt Mozilla Tipps zur Erstellung sicherer Passwörter.
Sören Hentzschel ist Webentwickler aus Salzburg. Auf soeren-hentzschel.at informiert er umfassend über Neuigkeiten zu Mozilla. Außerdem ist er Betreiber von camp-firefox.de, der ersten Anlaufstelle im deutschsprachigen Raum für Firefox-Probleme aller Art. Weitere Projekte sind firefox.agenedia.com, mozilla.de, firefoxosdevices.org sowie sozone.de.
Weitere aktuelle Artikel aus der Kategorie „Firefox Accounts & Sync“
- 01.10.2018Mozilla führt Wiederherstellungsschlüssel für Firefox Account ein
- 29.05.2018Firefox 62: Firefox bietet nach Abmeldung von Firefox Sync Löschen der Daten an
- 24.05.2018Firefox Account bekommt Zwei-Schritt-Authentifizierung
- 08.03.2018Firefox Account: Änderung der E-Mail-Adresse möglich
- 27.02.2018Firefox 60: Neue Option zum Deaktivieren von Firefox Sync
Danke für die Info, anscheinend ist mein Konto nicht betroffen.
Der Einbruchversuch wundert mich wenig, wenn man sieht, wie freigiebig manche Unternehmen die gespeicherten Nutzerdaten unter das Hackervolk streuen. Wenn man schon in jeder besseren Spammail korrekt angesprochen wird.
Besteht Hoffnung oder ein Verfahren, in naher Zukunft das Passwortchaos etwas einzudämmen?
Ich bin seit '96 oder so im Internet und bei bestimmt über tausend Diensten, Seiten, und Unternehmen angemeldet – schon mein seit drei Jahren geführter Passworttresor kennt an die fünfhundert Einträge. Ihr benutzt doch nicht wirklich jedesmal ein unterschiedliches Passwort?
Mittlerweile bin ich bei Kundenbesuchen mehr mit deren Passwortrecovery und -zuordnung beschäftigt als mit der eigentlichen Fehlerbeseitigung, das kann doch nicht wirklich die Zukunft des Internets sein.
Also ich benutze auf jeder Webseite ein unterschiedliches Passwort. An der Passwort-Sicherheit zu sparen ist definitiv am falschen Ende gespart. Es gibt nichts Wichtigeres. Das Internet ist nun einmal kein Ponyhof. Es wird eher immer wichtiger als immer unwichtiger.
Es gibt grundsätzlich zwei gute Methoden: entweder man denkt sich seine Passwörter nicht willkürlich aus, sondern konstruiert sie, was bedeutet, dass du dir ein System überlegst, aus welchem du alle Passwörter ableiten kannst, dann musst du dir nur dein System merken. Oder man nutzt eine Software, welche das Merken übernimmt. Ich verwende Enpass.
Danke für die Info. Das wird wirklich immer wichtiger, gut das man da bei Mozilla auf so etwas achtet.
Sync ist nach meinem Postfach bei gmx einer der sensibelsten Dienste die ich nutze.
Und wie können diese Nutzer dann ihre Accountdaten synchronisieren, wenn das Passwort zurückgesetzt ist und alle Daten mit dem Passwort verschlüsselt sind?
Indem sie die neuen Zugangsdaten verwenden. Das eigenständige Ändern des Passwortes war ja auch schon immer möglich.
Ich benutze Roboform als Password Safe ohne remote Synchronisation. Allerdings machen mir diese Tools irgendwie auch Sorgen. Wer garantiert mir denn, dass diese nicht unbemerkt meine Daten irgendwohin senden? Solch ein Tool macht es zwar relativ einfach für jedes Login ein anderes Passwort zu verwenden, aber eben, wenn diese Daten in die falschen Hände gelangen, dann sieht es wirklich übel aus. Die Daten sind wohl verschlüsselt – aber wie sicher sind sie wirklich?
Eine Garantie gibt es nicht, an irgendeinem Punkt muss zwangsläufig der Punkt Vertrauen dazukommen, weil man sonst gar keine Software mehr verwenden könnte – der Browser zum Beispiel könnte ja ebenfalls alle Zugangsdaten an einen Server senden.
Es gibt Software, um den Netzwerkverkehr zu überwachen. Eine Passwort-Software, welche so konfiguriert ist, dass sie nur lokal arbeitet, sollte vermutlich keine Netzwerkverbindungen aufbauen. Das wäre eine Möglichkeit, das zu überprüfen.
Ja gut, aber die Daten sind ja immer noch mit dem alten Passwort verschlüsselt. (Sonst wäre die Verschlüsselung ja sinnlos).
Ich nehme an die alten Daten werden deswegen dabei alle gelöscht, denn so ist es ja auch, wenn man eigenständig das Passwort zurück setzt.
Stimmt, daran hatte ich nicht gedacht, dass beim eigenständigen Zurücksetzen des Passworts die Daten gelöscht werden. Dass das in diesem Fall, in dem Mozilla die Passwörter zurücksetzt, auch zutrifft, kann natürlich gut sein, mit absoluter Sicherheit kann ich aber nichts dazu sagen.