Passwörter im Browser zu speichern ist eine komfortable Angelegenheit und man ist schnell geneigt, dieses Angebot wahrzunehmen. Leider ist diese Methode jedoch auch sehr unsicher. Selbst wenn die Passwortliste mit einem Masterpasswort verschlüsselt wurde, so hat ein Schadprogramm, welches den Browser kompromittiert vollen Zugriff auf sämtliche hinterlegte Passwörter.
Ein solcher Angriff muss dabei nicht einmal von einer "bösen" Webseite ausgehen. Auch manipulierte Erweiterungen können sich u.U. Zugriff auf diese Liste verschaffen. Weiterhin kann ein Schadprogramm möglichweise die Daten aus einem laufenden Firefoxprozess extrahieren.

Daher möchte ich eine kurze Anleitung zur Milderung dieses Problems anbieten. Die Anleitung bezieht sich dabei auf Firefox. (Chrome bietet keinerlei Verschlüsselung für gespeicherte Passwörter und muss somit hier außen vor bleiben).
Der Ansatz besteht darin, einen Extra-Firefox zu konfigurieren, der gleichzeitig zum "Alltagsfirefox" genutzt werden kann, mit dem jedoch nur auf einen eingeschränkten Kreis von Webseiten mit besonders zu schützenden Passwörtern zugegriffen wird. Solche Webseiten können beispielsweise Onlinebankingseiten oder die Administrationsoberflächen von Webprojekten etc. sein.

Wird der normale Firefox kompromittiert, so bleiben die Passwörter des "sicheren" Firefox mit höherer Wahrscheinlichkeit unberührt.

Beide Firefoxe können gleichzeitig genutzt werden, denn sie laufen als jeweils eigenständiger Prozess.

Für eine solche Konfiguration geht man folgendermaßen vor:

1. Link auf eigenständigen "sicheren" Firefox anlegen

Dazu eine Kopie des Firefox-links im Startmenü anlegen. Die Eigenschaften des neuen Links per rechte Maustaste öffnen und unter "Ziel" ("Target") folgendes ergänzen:
-no-remote -P "secure"
Dort steht dann also sowas wie "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -no-remote -P "secure"
Dieser Aufruf startet Firefox als neuen, eigenständigen Prozess (-no-remote), welcher ein eigene Profil (secure) nutzt.
Jetzt wird der Firefox über den neuen Link gestartet. Im sich öffnenden Profilmanager muss nun noch das Profil "secure" neu angelegt werden und als zu nutzen (ohne neue Nachfragen) eingestellt werden.

Evtl. muss man die alten Links auf den "normalen" Firefox jetzt um die Option "-P default" (Name bitte anpassen) ergänzen, damit diese Links das normale, alte Profil nutzen.

2. "Sicheren" Firefox abspecken

Im neuen, "sicheren" Firefox kann man nun viele Plugins und Erweiterungen abschalten. Es ist sicher auch keine schlechte Idee im "normalen" Firefox einmal die Plugin- und Erweiterungsliste durchzusehen und Ballast abzuwerfen. Jede Erweiterung bedeutet eine potentielle Schwachstelle mehr!

3. Passwörter übertragen

Um die Passwörter aus dem Profil des "normalen" Firefox in das neue Profil "secure" zu übertragen, muss man die Dateien key3.db und signons.sqlite aus dem Profilordner des "normalen" FF in den neuen Profilordner kopieren.
Die Profilordner befinden sich unter dem Pfad:
"C:\Users\username\AppData\Roaming\Mozilla\Firefox\Profiles\"
Nicht vergessen: Vor dem Kopieren geöffnete Firefoxe schließen!

Es gibt sicher noch andere Wege die gespeicherten Passwörter zu übertragen (z.B. über Addons), der gezeigte ist jedoch wohl der einfachste.

4. Masterkennwort im neuen "sicheren" Firefox setzen/ändern

Im "sicheren" Firefox muss nun noch das Masterpasswort neu gesetzt werden. Dieses findet sich unter "Einstellungen>Sicherheit".

5. Sensible Passwörter im "unsicheren FF" löschen!

Wichtig: Jetzt müssen gespeicherte, sensible Passwörter im "normalen" Firefox noch gelöscht werden, sonst hätte das ganze Prozedere ja keinen Sinn gehabt. Die Sichtung kann recht aufwendig werden. Hilfreich ist die Funktion "Passwörter anzeigen" und die Möglichkeit der Suche nach Schlüsselworten.

Zukünftig wird dann der "sichere" Firefox angeworfen, wenn Zugriff auf bestimmte passwortgeschütze Webseiten erfolgen soll. Nach Nutzung sollte man den "sicheren" Firefox möglichst wieder schließen.