Quanto è sicuro il gestore delle password di Firefox?

Uso il gestore delle password di Firefox da molto tempo, ma non ho mai verificato / verificato la sua sicurezza.

Il seguente post lo riassume meglio dal blog luxsci.com

Quando vengono utilizzate le password principali, i dati vengono crittografati utilizzando 3DES in modalità CBC per impostazione predefinita . Se scegli una password master valida e sicura, questo livello di crittografia dovrebbe andare bene. 3DES è considerato buono per l'uso generale fino al 2020 .

Dovresti essere consapevole del fatto che esistono programmi progettati per aprire le password salvate. Uno di questi programmi è FireMaster . Se non si sceglie una password principale sicura, è possibile che il database crittografato sia soggetto a violazione

Se sei un utente Mac OS X, una delle considerazioni è che non è integrato con il "KeyChain" (gestione password) a livello di sistema operativo. Puoi utilizzare Camino se desideri un browser mozilla / Gecko integrato a questo livello.

Questa è probabilmente un'opinione personale di parte.

Ritengo che l'integrazione dell'archiviazione delle password in qualsiasi sistema che offra molte altre funzionalità indebolisca la loro sicurezza rispetto alle vulnerabilità possibili in quel sistema. Altre parti del sistema combinato formano i collegamenti più deboli nella catena di sicurezza. Aiuta anche a utilizzare un sistema non standard ( leggi le conclusioni su questo link ).

A tal fine, preferisco memorizzarli in un file crittografato TrueCrypt .

Alcune altre discussioni,

• I fori rimangono aperti in Firefox Password Manager , 20 luglio 2007.
• LastBit FireFox Password Recovery 1.0
  Mi piace la parte relativa a " Notare che solo le password salvate verranno mostrate da Password FireFox. Se l'utente ha inserito una password ma non l'ha salvata, la password non verrà mostrata. "
• Password Manager Shootout - eWallet vs. KeePass vs. LastPass , favorisce LastPass

Ho provato LastPass e secondo me ha una debolezza intrinseca. Vale a dire che, sebbene abbia una tastiera virtuale, questo apre solo il tuo deposito LastPass. Non solo mostra i siti per cui hai le password (ok le password stesse sono "nascoste") ma ogni volta che vuoi accedere a un sito, devi inserire la password principale per la quale non esiste una tastiera virtuale.

Ho eseguito un test keylogger e avrebbe intercettato la mia password in questo modo. Quindi ora l'hacker ha accesso non solo a un sito ma al mio caveau, cioè a tutti i miei accessi. Ora puoi disabilitare "Richiedi password richiesta", in modo da inserire la password una sola volta tramite la tastiera virtuale e non ad ogni accesso.

Il problema che ho con questo è che LastPass funziona nel tuo browser, un hacker potrebbe accedere a un sito senza dover conoscere la tua password principale poiché è effettivamente aperta. LastPass deve utilizzare una tastiera virtuale simile a RoboForm o Kaspersky Password Manager.

Firefox e la maggior parte degli altri gestori di password soffrono di un errore simile, l'immissione di una password principale in modo non sicuro.

Quali "dati" sono crittografati? Solo le password o anche gli URL?

Mi chiedo se potrebbe essere rotto usando " presepi " come "facebook", "youtube", "gmail" ...

EDIT: secondo l'autore di FirePassword / FireMaster, solo le password e gli accessi sono crittografati :) http://securityxploded.com/firepassword.php

Il file key3.db contiene informazioni relative alla password principale come stringa di controllo della password crittografata, informazioni saltate, algoritmo e versione ecc.

Il file Signons.txt contiene le informazioni di accesso effettive Elenco degli host rifiutati: elenco di siti Web per i quali l'utente non desidera che Firefox ricordi le credenziali. Elenco host normale: ogni URL host è seguito da nome utente e password.

C'è un ottimo gestore di password online chiamato Clipperz . È ottimo per poter accedere alle tue password da qualsiasi computer. Puoi anche ospitare il software sul tuo provider di hosting. Non è conveniente come il gestore delle password di Firefox perché devi accedere per accedere alle tue password, ma per la possibilità di avere le tue password ovunque ci sia una connessione Internet è davvero utile per me.

Consiglio vivamente di usare LastPass invece. Firefox Password Manager è meglio di niente, ma anche con una password principale, non è poi così sicuro.

Se vuoi anche condividere le tue password su più browser e PC, prova LastPass] poiché hanno trovato davvero un modo fantastico e sicuro per condividere le tue password, mantenendole al sicuro.

Spiegano anche in dettaglio la loro tecnologia, in modo da poter controllare esattamente come proteggono le password. L'unico "aspetto negativo": devi usare javascript, in quanto lo usano per crittografare e decrittografare le tue password.

Per coloro che chiedono cosa è crittografato, password o anche URL, gli URL non vengono crittografati in nessuna delle soluzioni presentate.

Il problema si verifica se il browser è stato effettuato l'accesso a un sito con la casella di controllo "Resta connesso" selezionata nel modulo di accesso al sito. La sessione rimane aperta per giorni, anche settimane. Se il computer eredita malware, il malware può semplicemente entrare nel sito e fare cattive azioni.

Per quanto riguarda l'altro argomento, per esempio ho anche impostato la password paypal nel gestore password di Firefox. Ora sto solo aspettando che il malware svuoti il ​​mio account CC. Probabilmente non è successo perché pochi altri hanno la loro password paypal / amazon impostata su Firefox.