Retten oder Reset?

Workshop: Firefox Master Passwort zurücksetzen

Die in Firefox gespeicherten Passwörter lassen sich mit dem Master Passwort schützen. Doch was, wenn dieses in Vergessenheit gerät? Dann hilft das Tool Firemaster oder ein Reset.

Firefox schützt auf Wunsch alle gespeicherten Passwörter mit einem Master Password. Dieses sollte man besser nicht vergessen, da es nirgends auf dem Rechner abgelegt ist. Sind die Passwörter mit dem Master Passwort verschlüsselt, speichert Firefox lediglich, wie die Datei entschlüsselt aussieht. Wenn ein Nutzer nun ein Master Passwort eingibt, entschlüsselt Firefox die Passwörter mit dem eingegeben Passwort. Stimmt die aktuell entschlüsselte Datenbank mit dem gespeicherten Wert überein, wird die Eingabe akzeptiert und die Daten sind zugänglich. Geht das Passwort aber verloren, gibt es keine Möglichkeit, es aus dem Rechner auszulesen.

Löschen als Ausweg: Das Master Password von Firefox lässt sich offiziell nur durch Löschen zurücksetzen.
Löschen als Ausweg: Das Master Password von Firefox lässt sich offiziell nur durch Löschen zurücksetzen.

Es gibt allerdings zwei Möglichkeiten, den Browser wieder zu nutzen. Der offizielle Weg von Mozilla ist dabei mehr ein letzter Ausweg, löscht er doch alle hinterlegten Benutzernamen und Passwörter. Um das Master Passwort zurückzusetzen, muss in die Adressleiste des Browsers die URL

chrome://pippki/content/resetpassword.xul

eingeben werden, anschließend werden alle hinterlegten Passwörter und das Master Passwort mit Zurücksetzen gelöscht.

Weniger zerstörerisch, dafür zeitaufwendiger ist das Kommandozeilen-Tool Firemaster. Die Anwendung nutzt im Grunde Dictionary-Attacken sowie eine Brute-Force-Technik, um das vergebene Passwort zu erraten. Dazu erstellt die Anwendung laut den Entwicklern verschiedene Passwörter, verschlüsselt diese mit dem bekannten Wert des Master Passwortes und gleicht die erstellte Datei anschließend mit der Datenbank des Master Passwortes ab. Sind beide Dateien identisch, ist das aktuelle Passwort das Master Passwort. Damit die Anwendung korrekt arbeitet, muss zunächst die Datei key3.db in temporäres Verzeichnis kopiert werden. Diese findet sich am einfachsten mit einer Dateisuche, allerdings sollten auch versteckte Verzeichnisse mit durchsucht werden.

Firemaster in Aktion: Das Kommandozeilen-Tool versucht das Passwort zu knacken. (Quelle: Firemaster)
Firemaster in Aktion: Das Kommandozeilen-Tool versucht das Passwort zu knacken. (Quelle: Firemaster)

Der Trick bei Firemaster besteht darin, der Software möglichst viele Informationen mitzugeben. Die Anwendung lässt sich mit verschiedenen Optionen versehen, in denen etwa Aufbau oder Länge des Passwortes eingegeben werden können. Die Entwickler haben einen detaillierten Überblick über alle möglichen Programmschalter samt einigen Beispielen auf ihrer Homepage veröffentlicht.

Bitte beachten Sie: Firemaster ist ein klassisches Dual-Use-Tool und fällt deswegen in die rechtliche Grauzone des Paragraph 202c. Nutzen Sie das Programm daher nur an Ihrem eigenen System, oder wenn Ihnen der Besitzer eine Genehmigung erteilt hat. (mja)