Firefox: Mozilla zieht neuen Passwort-Schutz vorerst wieder zurück

Firefox: Mozilla zieht neuen Passwort-Schutz vorerst wieder zurück

Mit dem Release von Firefox 76.0 in der vergangenen Woche führte Mozilla neue Schutzfunktionen in seinem Passwortmanager Firefox Lockwise ein, die einen Zugriff auf die entsprechenden Einträge besser absichern sollen. Möchte man nun auf bestimmte Anmeldedaten zugreifen und hat kein Master-Passwort eingerichtet, wird nun ähnlich wie bei den Chromium-Browsern eine Authentifizierung über das jeweilige Betriebssystem angefordert. Bisher gilt das für macOS ab Version 10.12 und Windows, sodass hierfür unter Windows 10 zum Beispiel neben dem normalen Passwort für den Microsoft-Account auch die diversen Möglichkeiten von Windows Hello wie die PIN genutzt werden können.

Per Fernzugriff wurde die neue Funktion nun im aktuellen Firefox 76.0 und in der Beta des kommenden Firefox 77.0 deaktiviert, da neben diversen technischen Problemen auch eine Überforderung und Verwirrung der Nutzer zu einer hohen Fehlerrate geführt hatte. Voraussichtlich soll die neue Funktion mit Firefox 78.0, welcher planmäßig am 30. Juni veröffentlicht werden soll, zurückkehren und zuvor mit mehreren Verbesserungen versehen werden. Die benötigten Daten zur Authentifizierung sollen besser beschrieben werden. Außerdem soll es die Möglichkeit geben, dass Nutzer, die kein Passwort zur Nutzung des Betriebssystems benötigen und automatisch eingeloggt werden, diese Authentifizierung überspringen können.

Über den Autor
Kevin Kozuszek
  • Kevin Kozuszek auf Twitter
Seit 1999 bin ich Microsoft eng verbunden, daneben schlägt mein Herz aber auch für die OpenSource-Welt, wo mein besonderes Interesse der Mozilla Foundation gilt. Wenn ich mich mal nicht mit Technik beschäftige, tauche ich gerne in die japanische Kultur mit all ihren Facetten ab oder widme mich einem meiner zahlreichen anderen Hobbies.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.



Kommentare

  1. da neben diversen technischen Problemen auch eine Überforderung und Verwirrung der Nutzer zu einer hohen Fehlerrate geführt hatte.

    Eigenartig, weil der Dialog doch eindeutig ist - vor allem, weil Chromium das schon sehr lange so händelt. Allerdings mit einem wichtigen Unterschied und das hat Mozilla verpennt. Bräuchte man nur mit einer 76.0.2 oder 77.0 ausliefern.
    Allerdings haben all diejenigen ein Problem damit, die bislang ohne Windows-Credentials gearbeitet haben. Bis finale reicht es auch, ein Masterpasswort in Firefox zu setzen. Oder man schaltet es komplett ab, wie Zitronella hier schreibt:
    Mozilla nimmt neuen Passwort-Schutz in Firefox 76 und 77 zuruck - Nachrichten - camp-firefox.de
    signon.management.page.os-auth.enabled <-- false

    Wie gesagt, bei Chromium geht es ohne schon lange nicht mehr weiter, es kann aber auch sein*, dass Chromium die Passwörter direkt anzeigt, wenn kein Windows-Passwort vergeben wurde. Dann kann jeder Ar** im Vorbeigehen die Daten abgreifen.
    * ich nutze schon ewig ein Passwort, weil Windows damit mehr als nur Browser-Passwörter bearbeitet werden können, nahezu alle Credentials werden damit gesteuert, Beispiel Aufgabenplanung - ohne Passwort kann man keine Aufgabe anlegen und und und.
    ntoskrnl
    Wer einen solchen Fernzugriff von Mozilla nicht haben möchte:
    app.normandy.enabled

    Im Übrigen kann man darüber diskutieren, ob es sinnvoll ist, den Fernzugriff von Mozilla zu deaktivieren. Grundsätzlich ist Normandy nur eine Möglichkeit für die Entwickler, bestimmte Funktionen, die Probleme machen oder in einem A/B-Tests getestet werden sollen, zu aktivieren oder zu deaktivieren, ohne dass ein komplettes Update für den Firefox Browser ausgerollt werden muss. Insofern ist diese Funktion grundsätzlich sinnvoll und sollte nicht blockiert werden.
    Zur Wahrheit gehört auch dazu, dass Normandy auch für Geschichten wie Looking Glass seinerzeit verantwortlich war, das stimmt, aber so einen Käse hat Mozilla seitdem eigentlich nicht mehr gemacht. Von daher sollte man sowas wirklich mit Bedacht entscheiden.
    Dass das für Verwirrung Stiftet ist doch verständlich, ist mir die vergangene Woche im übrigen auch genauso passiert als ich zum Test mal Lockwiese auf meinem Smartphone einrichten wollte, dazu brauchte ich das Passwort von meinem Firefox Account und da hatte ich genau dieses Problem!
    Ich habe es dann anders gelöst und mir WebBrowserPassView heruntergeladen und mir dort das Passwort ausgelesen. Weil es wirklich etwas unlogisch erscheint wieso der Firefox Plötzlich das Passwort vom Betriebssystem haben möchte.
    Weil es wirklich etwas unlogisch erscheint wieso der Firefox Plötzlich das Passwort vom Betriebssystem haben möchte.

    Das ist nur die konsequente Umsetzung von Datenschutz, wenn man kein Masterpasswort gesetzt hat und damit andere im Vorbeigehen Passwörter abgreifen könnten.
    Was du mit Lockwise benennst, ist der Online-Dienst von Mozilla, den man vom Firefox Passwortmanager (nennt sich auch Lockwise) bedienen und syncen kann. Hat aber rein gar nichts mit der Passwortabfrage zu tun.
    Darum sperrt man den Rechner wenn andere da sind, denen du zutraust "im Vorbeigehen" deine Passwörter auszulesen.
    Schutz ist das ja kein wirklicher. Der "Vorbeigeher" muß nur kurz signon.management.page.os-auth.enabled setzen und kann deine Passwörter lesen.
    Hier gibts keine Anderen zumindest keine an meinem PC, Notebook, Smartphone ist eine andere Sache da habe ich auch ein Masterpasswort, wo bei ich mich ja bei Windows statt Passwort mit einem Yubikey Authentifiziere somit gibts eigentlich auch kein Windows Passwort mehr.
    Als die FIDO U2F-Unterstützung wurde mit Version 67 in Firefox eingeführt frage ich mich bloß wieso der den nicht als schlüssel akzeptiert?
Nach oben