Quanto è sicuro il gestore delle password di Firefox?


Risposte:


27

Il seguente post lo riassume meglio dal blog luxsci.com

Quando vengono utilizzate le password principali, i dati vengono crittografati utilizzando 3DES in modalità CBC per impostazione predefinita . Se scegli una password master valida e sicura, questo livello di crittografia dovrebbe andare bene. 3DES è considerato buono per l'uso generale fino al 2020 .

Dovresti essere consapevole del fatto che esistono programmi progettati per aprire le password salvate. Uno di questi programmi è FireMaster . Se non si sceglie una password principale sicura, è possibile che il database crittografato sia soggetto a violazione


Mi chiedo quanto tempo ci vorrebbe per decifrare le password salvate e quanto tempo ci vorrebbe per decifrare le password salvate con un forte master pw. Hmm, vedi che è del 2009. Immagino che debba essere lo stesso.
Adam,

3

Se sei un utente Mac OS X, una delle considerazioni è che non è integrato con il "KeyChain" (gestione password) a livello di sistema operativo. Puoi utilizzare Camino se desideri un browser mozilla / Gecko integrato a questo livello.


4
Non era esattamente la domanda.
Joey,

1
@benc - Mozilla dovrebbe o vorrebbe aggiungere supporto per questo?
1,21 gigawatt

Puoi utilizzare il componente aggiuntivo Integrazione servizi portachiavi
mems,

3

Questa è probabilmente un'opinione personale di parte.

Ritengo che l'integrazione dell'archiviazione delle password in qualsiasi sistema che offra molte altre funzionalità indebolisca la loro sicurezza rispetto alle vulnerabilità possibili in quel sistema. Altre parti del sistema combinato formano i collegamenti più deboli nella catena di sicurezza. Aiuta anche a utilizzare un sistema non standard ( leggi le conclusioni su questo link ).

A tal fine, preferisco memorizzarli in un file crittografato TrueCrypt .

Alcune altre discussioni,


2
I fori rimangono aperti in Firefox Password Manager "non devono affidare le loro password al gestore password su siti Web che consentono ad altri utenti di creare le proprie pagine contenenti script". risposta: "Non si tratta della sicurezza di Firefox. Si tratta della sicurezza dei siti Web che consente agli utenti di inserire codice Javascript nei loro siti". conclusione: il gestore delle password è "insicuro" su siti intrinsecamente insicuri .
curiousguy,

1
@curiousguy: lo stesso vale per qualsiasi gestore di password - le password devono sempre essere inserite in qualsiasi modulo web in testo semplice. Questo non è un difetto di sicurezza nel gestore delle password.
naught101

A partire dal 2019, Truecrypt è deprecato con vulnerabilità note (CVE-2015-7358) e subentra a Veracrypt . Questo è in realtà un buon esempio di ciò di cui Nik stava parlando. L'implementazione crittografica non è ancora nota per essere vulnerabile, ma una caratteristica del programma stesso può essere utilizzata da un utente malintenzionato a livello utente per ottenere privilegi elevati. Gli sviluppatori di Veracrypt hanno risolto questi problemi e superato il controllo.
Eikre

2

Ho provato LastPass e secondo me ha una debolezza intrinseca. Vale a dire che, sebbene abbia una tastiera virtuale, questo apre solo il tuo deposito LastPass. Non solo mostra i siti per cui hai le password (ok le password stesse sono "nascoste") ma ogni volta che vuoi accedere a un sito, devi inserire la password principale per la quale non esiste una tastiera virtuale.

Ho eseguito un test keylogger e avrebbe intercettato la mia password in questo modo. Quindi ora l'hacker ha accesso non solo a un sito ma al mio caveau, cioè a tutti i miei accessi. Ora puoi disabilitare "Richiedi password richiesta", in modo da inserire la password una sola volta tramite la tastiera virtuale e non ad ogni accesso.

Il problema che ho con questo è che LastPass funziona nel tuo browser, un hacker potrebbe accedere a un sito senza dover conoscere la tua password principale poiché è effettivamente aperta. LastPass deve utilizzare una tastiera virtuale simile a RoboForm o Kaspersky Password Manager.

Firefox e la maggior parte degli altri gestori di password soffrono di un errore simile, l'immissione di una password principale in modo non sicuro.


0

Quali "dati" sono crittografati? Solo le password o anche gli URL?

Mi chiedo se potrebbe essere rotto usando " presepi " come "facebook", "youtube", "gmail" ...

EDIT: secondo l'autore di FirePassword / FireMaster, solo le password e gli accessi sono crittografati :) http://securityxploded.com/firepassword.php

Il file key3.db contiene informazioni relative alla password principale come stringa di controllo della password crittografata, informazioni saltate, algoritmo e versione ecc.

Il file Signons.txt contiene le informazioni di accesso effettive Elenco degli host rifiutati: elenco di siti Web per i quali l'utente non desidera che Firefox ricordi le credenziali. Elenco host normale: ogni URL host è seguito da nome utente e password.


0

C'è un ottimo gestore di password online chiamato Clipperz . È ottimo per poter accedere alle tue password da qualsiasi computer. Puoi anche ospitare il software sul tuo provider di hosting. Non è conveniente come il gestore delle password di Firefox perché devi accedere per accedere alle tue password, ma per la possibilità di avere le tue password ovunque ci sia una connessione Internet è davvero utile per me.


0

Consiglio vivamente di usare LastPass invece. Firefox Password Manager è meglio di niente, ma anche con una password principale, non è poi così sicuro.

Se vuoi anche condividere le tue password su più browser e PC, prova LastPass] poiché hanno trovato davvero un modo fantastico e sicuro per condividere le tue password, mantenendole al sicuro.

Spiegano anche in dettaglio la loro tecnologia, in modo da poter controllare esattamente come proteggono le password. L'unico "aspetto negativo": devi usare javascript, in quanto lo usano per crittografare e decrittografare le tue password.


6
Spiega perché hai detto "Firefox Password Manager [...] anche con una password principale [non] è così sicuro"
Josh

0

Per coloro che chiedono cosa è crittografato, password o anche URL, gli URL non vengono crittografati in nessuna delle soluzioni presentate.

Il problema si verifica se il browser è stato effettuato l'accesso a un sito con la casella di controllo "Resta connesso" selezionata nel modulo di accesso al sito. La sessione rimane aperta per giorni, anche settimane. Se il computer eredita malware, il malware può semplicemente entrare nel sito e fare cattive azioni.

Per quanto riguarda l'altro argomento, per esempio ho anche impostato la password paypal nel gestore password di Firefox. Ora sto solo aspettando che il malware svuoti il ​​mio account CC. Probabilmente non è successo perché pochi altri hanno la loro password paypal / amazon impostata su Firefox.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.