Jak bezpieczny jest menedżer haseł Firefox?

49

Używam menedżera haseł Firefoksa od dłuższego czasu, ale nigdy nie sprawdziłem / nie zweryfikowałem jego bezpieczeństwa.

Shameem
źródło
To może być lepiej zapytać o security.SE.
naught101

Odpowiedzi:

27

Poniższy post najlepiej podsumowuje to na blogu luxsci.com

Gdy używane są hasła główne, dane są domyślnie szyfrowane przy użyciu 3DES w trybie CBC . Jeśli wybierzesz dobre, silne hasło główne, ten poziom szyfrowania powinien być w porządku. Oceniono, że 3DES nadaje się do ogólnego użytku do 2020 r .

Należy pamiętać, że istnieją programy zaprojektowane do łamania zapisanych haseł. Jednym z takich programów jest FireMaster . Jeśli nie wybierzesz silnego hasła głównego, twoja zaszyfrowana baza danych może być podatna na włamanie

Vdex
źródło
Zastanawiam się, ile czasu zajmie złamanie zapisanych haseł i ile czasu zajmie złamanie zapisanych haseł silnym głównym pw. Hmm, widzę, że pochodzi z 2009 roku. Chyba wciąż musi być tak samo.
Adam,
3

Jeśli jesteś użytkownikiem Mac OS X, jednym z czynników jest to, że nie jest on zintegrowany z „KeyChain” na poziomie systemu operacyjnego (zarządzanie hasłami). Możesz użyć Camino, jeśli chcesz zintegrowaną przeglądarkę Mozilla / Gecko na tym poziomie.

benc
źródło
4
To nie było dokładnie pytanie.
Joey,
1
@benc - Czy Mozilla chciałaby dodać wsparcie dla tego?
1,21 gigawatów
3

Jest to prawdopodobnie stronnicza opinia osobista.

Uważam, że zintegrowanie przechowywania haseł z dowolnym systemem, który zapewnia wiele innych funkcji, osłabia ich bezpieczeństwo w stosunku do luk w zabezpieczeniach możliwych w tym systemie. Inne części połączonego systemu tworzą słabsze ogniwa w łańcuchu bezpieczeństwa. Pomaga także w korzystaniu z niestandardowego systemu ( przeczytaj wnioski na ten link ).

W tym celu wolę przechowywać je w zaszyfrowanym pliku TrueCrypt .

Niektóre inne dyskusje,

nik
źródło
2
Otwory pozostają otwarte w przeglądarce Firefox Password Manager „nie powinni powierzać swoich haseł menedżerowi haseł w witrynach internetowych, które pozwalają innym użytkownikom tworzyć własne strony zawierające skrypty”. odpowiedź: „Nie chodzi o bezpieczeństwo Firefoksa. Chodzi o bezpieczeństwo stron internetowych, które pozwalają użytkownikom wstawiać kod Javascript na swoich stronach”. wniosek: menedżer haseł jest „niezabezpieczony” w witrynach z natury niepewnych .
ciekawy,
1
@curiousguy: to samo dotyczy każdego menedżera haseł - hasła należy zawsze wprowadzać w dowolnym formularzu internetowym w postaci zwykłego tekstu. To nie jest usterka bezpieczeństwa w menedżerze haseł.
naught101
W 2019 roku Truecrypt jest przestarzały ze znanymi lukami (CVE-2015-7358) i zastąpiony przez Veracrypt . To właściwie dobry przykład tego, o czym mówił Nik. Wdrożenie kryptograficzne wciąż nie jest podatne na ataki, ale osoba atakująca na poziomie użytkownika może użyć funkcji samego programu w celu uzyskania podwyższonych uprawnień. Twórcy Veracrypt naprawili te problemy i przeszli audyt.
Eikre
2

Próbowałem LastPass i moim zdaniem ma ono nieodłączną słabość. Mianowicie, że chociaż ma wirtualną klawiaturę, to tylko otwiera twój skarbiec LastPass. Wyświetla to nie tylko witryny, dla których masz hasła (ok, same hasła są „ukryte”), ale za każdym razem, gdy chcesz się zalogować do witryny, musisz wprowadzić hasło główne, dla którego nie ma wirtualnej klawiatury.

Uruchomiłem test keyloggera i w ten sposób przechwyciłbym moje hasło. Więc teraz haker ma dostęp nie tylko do jednej witryny, ale do mojej przechowalni, tj. Do wszystkich moich loginów. Teraz możesz wyłączyć opcję „monit o hasło”, aby hasło było wprowadzane tylko raz za pomocą wirtualnej klawiatury, a nie przy każdym logowaniu.

Problem z tym, że LastPass działa w przeglądarce, haker może zalogować się na stronie bez znajomości hasła głównego, ponieważ jest ono skutecznie otwarte. LastPass musi korzystać z wirtualnej klawiatury podobnej do RoboForm lub Kaspersky Password Manager.

Firefox i większość innych menedżerów haseł cierpi z powodu podobnej usterki - wprowadzenia hasła głównego w niepewny sposób.

Chris
źródło
0

Jakie „dane” są szyfrowane? Tylko hasła lub adresy URL?

Zastanawiam się, czy można to zepsuć za pomocą „ szopek ”, takich jak „facebook”, „youtube”, „gmail” ...

EDYCJA: według autora FirePassword / FireMaster tylko hasła i loginy są szyfrowane :) http://securityxploded.com/firepassword.php

Plik key3.db zawiera informacje dotyczące hasła głównego, takie jak zaszyfrowany ciąg sprawdzania hasła, sól, algorytm i informacje o wersji itp.

Plik Signons.txt zawiera rzeczywiste informacje dotyczące rejestracji Odrzuć listę hostów: lista witryn, dla których użytkownik nie chce, aby Firefox zapamiętywał poświadczenia. Normalna lista hostów: po każdym adresie URL hosta znajduje się nazwa użytkownika i hasło.

Manu
źródło
0

Istnieje świetny internetowy menedżer haseł o nazwie Clipperz . Jest świetny, ponieważ możesz uzyskać dostęp do haseł z dowolnego komputera. Możesz także hostować oprogramowanie u swojego dostawcy usług hostingowych. Nie jest to tak wygodne, jak menedżer haseł Firefoksa, ponieważ musisz się zalogować, aby uzyskać dostęp do swoich haseł, ale możliwość posiadania haseł wszędzie tam, gdzie jest połączenie internetowe, jest dla mnie bardzo przydatna.

Spidey
źródło
0

Zdecydowanie polecam zamiast tego użyć LastPass . Menedżer haseł do Firefoksa jest lepszy niż nic, ale nawet przy użyciu hasła głównego nie jest tak bezpieczny.

Jeśli chcesz również udostępniać swoje hasła w wielu przeglądarkach i komputerach, wypróbuj LastPass], ponieważ naprawdę znaleźli świetny i bezpieczny sposób udostępniania haseł, jednocześnie zapewniając ich bezpieczeństwo.

Wyjaśniają również szczegółowo swoją technologię, abyś mógł sprawdzić, w jaki sposób chronią hasła. Jedyny „minus”: musisz użyć javascript, ponieważ używają go do szyfrowania i deszyfrowania twoich haseł.

FrankS
źródło
6
Wyjaśnij, dlaczego powiedziałeś: „Menedżer haseł do Firefoksa [...] nawet przy użyciu hasła głównego nie jest tak bezpieczny”
Josh
0

Dla tych, którzy pytają, co jest szyfrowane, hasła, a także adresy URL, adresy URL nie są szyfrowane w żadnym z prezentowanych rozwiązań.

Problem zaczyna się, jeśli przeglądarka została zalogowana na stronie z polem wyboru „pozostań zalogowanym” zaznaczonym w formularzu logowania do witryny. Sesja pozostaje otwarta przez kilka dni, a nawet tygodni. Jeśli komputer odziedziczy złośliwe oprogramowanie, złośliwe oprogramowanie może po prostu wejść na stronę i zrobić to źle.

Z drugiej strony, mam dla jednego również np. Hasło paypal ustawione w menedżerze haseł firefox. Teraz czekam, aż złośliwe oprogramowanie opróżni moje konto CC. Prawdopodobnie tak się nie stało, ponieważ kilka innych osób ma ustawione hasło do PayPal / Amazon w Firefox.

Antti Rytsölä Circles Consult
źródło