Jak bezpieczny jest menedżer haseł Firefox?

Używam menedżera haseł Firefoksa od dłuższego czasu, ale nigdy nie sprawdziłem / nie zweryfikowałem jego bezpieczeństwa.

Poniższy post najlepiej podsumowuje to na blogu luxsci.com

Gdy używane są hasła główne, dane są domyślnie szyfrowane przy użyciu 3DES w trybie CBC . Jeśli wybierzesz dobre, silne hasło główne, ten poziom szyfrowania powinien być w porządku. Oceniono, że 3DES nadaje się do ogólnego użytku do 2020 r .

Należy pamiętać, że istnieją programy zaprojektowane do łamania zapisanych haseł. Jednym z takich programów jest FireMaster . Jeśli nie wybierzesz silnego hasła głównego, twoja zaszyfrowana baza danych może być podatna na włamanie

Jeśli jesteś użytkownikiem Mac OS X, jednym z czynników jest to, że nie jest on zintegrowany z „KeyChain” na poziomie systemu operacyjnego (zarządzanie hasłami). Możesz użyć Camino, jeśli chcesz zintegrowaną przeglądarkę Mozilla / Gecko na tym poziomie.

Jest to prawdopodobnie stronnicza opinia osobista.

Uważam, że zintegrowanie przechowywania haseł z dowolnym systemem, który zapewnia wiele innych funkcji, osłabia ich bezpieczeństwo w stosunku do luk w zabezpieczeniach możliwych w tym systemie. Inne części połączonego systemu tworzą słabsze ogniwa w łańcuchu bezpieczeństwa. Pomaga także w korzystaniu z niestandardowego systemu ( przeczytaj wnioski na ten link ).

W tym celu wolę przechowywać je w zaszyfrowanym pliku TrueCrypt .

Niektóre inne dyskusje,

• Otwory pozostają otwarte w przeglądarce Firefox Password Manager , 20 lipca 2007 r.
• LastBit FireFox Password Recovery 1.0
  Podoba mi się część o: „ Pamiętaj, że hasło FireFox wyświetla tylko zapisane hasła. Jeśli użytkownik wprowadził hasło, ale go nie zapisał, hasło nie zostanie wyświetlone ”.
• Password Manager Shootout - eWallet vs. KeePass vs. LastPass , faworyzuje LastPass

Próbowałem LastPass i moim zdaniem ma ono nieodłączną słabość. Mianowicie, że chociaż ma wirtualną klawiaturę, to tylko otwiera twój skarbiec LastPass. Wyświetla to nie tylko witryny, dla których masz hasła (ok, same hasła są „ukryte”), ale za każdym razem, gdy chcesz się zalogować do witryny, musisz wprowadzić hasło główne, dla którego nie ma wirtualnej klawiatury.

Uruchomiłem test keyloggera i w ten sposób przechwyciłbym moje hasło. Więc teraz haker ma dostęp nie tylko do jednej witryny, ale do mojej przechowalni, tj. Do wszystkich moich loginów. Teraz możesz wyłączyć opcję „monit o hasło”, aby hasło było wprowadzane tylko raz za pomocą wirtualnej klawiatury, a nie przy każdym logowaniu.

Problem z tym, że LastPass działa w przeglądarce, haker może zalogować się na stronie bez znajomości hasła głównego, ponieważ jest ono skutecznie otwarte. LastPass musi korzystać z wirtualnej klawiatury podobnej do RoboForm lub Kaspersky Password Manager.

Firefox i większość innych menedżerów haseł cierpi z powodu podobnej usterki - wprowadzenia hasła głównego w niepewny sposób.

Jakie „dane” są szyfrowane? Tylko hasła lub adresy URL?

Zastanawiam się, czy można to zepsuć za pomocą „ szopek ”, takich jak „facebook”, „youtube”, „gmail” ...

EDYCJA: według autora FirePassword / FireMaster tylko hasła i loginy są szyfrowane :) http://securityxploded.com/firepassword.php

Plik key3.db zawiera informacje dotyczące hasła głównego, takie jak zaszyfrowany ciąg sprawdzania hasła, sól, algorytm i informacje o wersji itp.

Plik Signons.txt zawiera rzeczywiste informacje dotyczące rejestracji Odrzuć listę hostów: lista witryn, dla których użytkownik nie chce, aby Firefox zapamiętywał poświadczenia. Normalna lista hostów: po każdym adresie URL hosta znajduje się nazwa użytkownika i hasło.

Istnieje świetny internetowy menedżer haseł o nazwie Clipperz . Jest świetny, ponieważ możesz uzyskać dostęp do haseł z dowolnego komputera. Możesz także hostować oprogramowanie u swojego dostawcy usług hostingowych. Nie jest to tak wygodne, jak menedżer haseł Firefoksa, ponieważ musisz się zalogować, aby uzyskać dostęp do swoich haseł, ale możliwość posiadania haseł wszędzie tam, gdzie jest połączenie internetowe, jest dla mnie bardzo przydatna.

Zdecydowanie polecam zamiast tego użyć LastPass . Menedżer haseł do Firefoksa jest lepszy niż nic, ale nawet przy użyciu hasła głównego nie jest tak bezpieczny.

Jeśli chcesz również udostępniać swoje hasła w wielu przeglądarkach i komputerach, wypróbuj LastPass], ponieważ naprawdę znaleźli świetny i bezpieczny sposób udostępniania haseł, jednocześnie zapewniając ich bezpieczeństwo.

Wyjaśniają również szczegółowo swoją technologię, abyś mógł sprawdzić, w jaki sposób chronią hasła. Jedyny „minus”: musisz użyć javascript, ponieważ używają go do szyfrowania i deszyfrowania twoich haseł.

Dla tych, którzy pytają, co jest szyfrowane, hasła, a także adresy URL, adresy URL nie są szyfrowane w żadnym z prezentowanych rozwiązań.

Problem zaczyna się, jeśli przeglądarka została zalogowana na stronie z polem wyboru „pozostań zalogowanym” zaznaczonym w formularzu logowania do witryny. Sesja pozostaje otwarta przez kilka dni, a nawet tygodni. Jeśli komputer odziedziczy złośliwe oprogramowanie, złośliwe oprogramowanie może po prostu wejść na stronę i zrobić to źle.

Z drugiej strony, mam dla jednego również np. Hasło paypal ustawione w menedżerze haseł firefox. Teraz czekam, aż złośliwe oprogramowanie opróżni moje konto CC. Prawdopodobnie tak się nie stało, ponieważ kilka innych osób ma ustawione hasło do PayPal / Amazon w Firefox.