Willkommen im User-Forum von mailbox.org
 

Sichtbares Passwort beim Login wird vom Browser gespeichert

2259986 hat dies geteilt, 7 Monaten her
veröffentlicht

Es gibt im Passwortfeld beim Login ein Icon um das Passwort sichtbar zu machen. Ist dieser Modus beim drücken auf "Login" aktiv, speichert der Browser (Firefox) das Passwort in der Autovervollständigungsliste. Dies führt dazu, dass es auch bei anderen Websites in Eingabefelder als Vorschlag kommt oder je nach Einstellungen/AddOns sogar vorausgefüllt wird. Ist das nicht ein Sicherheitsrisiko?

Kommentare (12)

Foto
1

Das speichern von Passwörtern in Browsern ist IMMER ein Risiko.


Besser einen Passwortmanager wie z.B. KeePass benutzen, oder auf eine 2-Faktor-Authentifizierung z.B. mit Yubikey umsteigen, und wenn möglich den Webmailer immer nur im privaten Browsermodus aufrufen.

Foto
1

Das stimmt, aber normalerweise fragt der Browser vor dem Speichern des Passwortes, bzw. man kann es komplett deaktivieren oder einen AddOn für einen Passwortmanager verwenden.


Wenn das Passwort aber wie oben beschrieben sichtbar ist, speichert der Browser das Passwort ohne Frage, selbst wenn das speichern von Passwörtern deaktivert ist.

Foto
1

Ich denke, dass Firefox das Passwortfeld im Anzeigemodus als Formularfeld erkennt und daher für die Formularvervollständigung speichert. Diese kann man ebenfalls deaktivieren, ich weiß gerade nicht wie die Standardeinstellung ist.

Foto
1

Genau dieses Problem habe ich mittlerweile mehrfach dem Support gemeldet und nicht einmal eine Antwort bekommen. Ich speichere meine Passwörter nie für eine späterer erneute Einloggung. Zuhause mag das ja noch angehen, aber: am Vereins-, Firmen- oder Freundesrechner ein absolutes NO GO. Sobald ich auf "Passwort sichtbar" gehe und ich das erste Zeichen richtig eingebe, dabei ist es egal ob mein erster Buchstabe groß oder klein eingegeben wird oder ob ich als Test vorher zwanzig mal ein falsches Zeichen (bei der selben Einloggung!) eingegeben habe, sobald der erste Buchstabe passt, kommt das gesamte Passwort. Der Eintrag über mir zeigt, dass das Problem seit langem bekannt ist und nichts dagegen unternommen wird, wie gesagt ich bekomme ja nicht mal eine Rückmeldung, dass meine Supportanfrage überhaupt beim Support eingegangen ist. Schade, aber so werde ich nach Ablauf meines vorab gezahlten Geldes diesen Sommer den Anbieter wechseln.

Und @ "roomdoh": Ich kann doch nicht an fremden Firefoxrechnern (Verein, Firma, Freundeskreis) die Formularvervollständigung deaktivieren nur weil die Firma Heinlein nicht aus den Puschen kommt?

Foto
3

Wo sollte die Firma Heinlein hier denn aus den Puschen kommen? Was konkret wird von der Firma Heinlein den verlangt? Wieso sollte ein Telemedien- und/oder TK-Anbieter für Einstellungen im Browser gerade stehen müssen? Firefox speichert hier doch offensichtlich selbstständig, dies gibt doch nicht die Webseite vor...

Foto
1

Ich sehe das genauso, dass ist eine Eigenheit vom Browser und muss jeder selber einstellen. Ich würde diese Einstellung sowieso in jedem Browser ausschalten, da diese nur marginal abgesichert sind. Ich kann ja auch nicht Mailbox.org verantwortlich machen, wenn ich nicht auf die Website komme weil mein DSL nicht funktioniert, da können die herzlich wenig für.

Und ich glaube nicht, dass hier das Eingabefeld geändert wird, denn dann erkennen (sichere) Passwortmanager nämlich dies nicht mehr und die Barrierefreiheit wäre zudem eingeschränkt (und das nur wegen einer Einstellung im Browser).

Foto
1

@ 7842928 und Daniel: Diese Eigenheit des Browsers tritt halt NUR und AUSSCHLIESSLICH bei Mailbox.org auf und bei keiner anderen Einloggung, nicht mal bei GMX, deshalb bin ich persönlich der Meinung, dass dies ein Fehler in der Heinleinsoftware ist. Ich lasse mich aber gerne von was anderem Überzeugen wenn dies fundiert begründet ist! Ich speichere meine Paswörter nie und kann dies selbstredend auch bei MEINEM Browser mit ein wenig Recherche einstellen dass gar nichts mehr gespeichert wird. Nur, an fremden Rechnern wie z. B. im Betrieb, Verein, etc. werde ich mich hüten da auch nur ansatzweise irgendetwas in den Einstellungen zu ändern. Die einzige Möglichkeit: Keine fremden Rechner zu benutzen um sich bei Heinlein einzuloggen. Mich ärgert vor allem, dass man null Rückmeldung bekommt. Man stellt eine Supportanfrage mehrmals und, ja, man bekommt nichts, kein: "Das ist nicht unsere Schuld", kein "Wir schauen uns das mal an", kein: "interessiert uns nicht". Das ist eigentlich das was mich ärgert. Na ja, bleibt immer noch der Weg nicht mehr weiter Heinlein zu nutzen. Schade eigentlich.

Foto
1

Tja, und leider muss ich feststellen, dass ein Forum auch keine wirklichhe Hilfe ist...

Foto
1

Dabei kann man aber nicht helfen, da es Clientspetifisch ist. Und streng genommen ist der Webclient keine Software! Dies ist nur ein Frontend auf HTML Basis und wenn man sich an den Standard hält, dann wird jeder Browser das Passwort speichern wollen. Und das kommt auch bei anderen Websites zum Tragen u.a. GMX, es kann nur sein, dass Du bereits im Browser gesagt hast das Passwort nicht zu speichern.

Aber nochmal, das ist ein ganz übliches und normales Verhalten, welches bei HTML Formularfeldern immer auftritt und auch generell gewollt ist.

Daher verstehe ich Dein Verhalten nicht, denn der Wunsch nach nicht Speichern ist nur ein Klick und fertig.

Foto
1

@ 5373775: Wenn ich dich richtig verstehe, tritt das Problem bei dir nur bei Fremdrechnern auf bzw. ist nur dort kritisch, da es eben Fremdrechner sind. Wäre es nicht sinnvoll, dann eine Zwei-Faktor-Authorisierung zu verwenden und ohne 2FA konsequent auf Login an Fremdrechnern zu verzichten? Denn selbst wenn das von dir beschriebene automatische Speichern des Passworts deaktiviert würde, ist ein Fremdrechner immer noch potentiell unsicher, da auch auf anderen Wegen (gewollt oder ungewollt) Passwörter mitgeschrieben werden können.

Foto
1

Moin


Mittlerweile scheint das Problem tatsächlich behoben worden zu sein. Obwohl ich an meiner Kiste nichts mehr verändert hatte, "PW speichern: Nie" hatte ja nicht funktioniert , wird neuerdings das PW nicht mehr automatisch ergänzt! Egal warum das jetzt auf einmal so ist, mein Dank an den Support. Antwort habe ich nach etwas Gemaule auch noch bekommen. Jetzt passt es auf jeden Fall.

Foto
Foto
1

Hast du es per Ticket gemeldet? Und auvh Dir Benachrichtigung aktiviert?


Eigentlich antwortet der Support immer. Dauert in der letzten Zeit wg. Personalnotstand nur etwas länger als sonst.