Насколько безопасен менеджер паролей Firefox?


49

Я давно использую менеджер паролей Firefox, но никогда не проверял / не проверял, насколько он безопасен.


Это может быть лучше спросить на security.SE.
naught101

Ответы:


27

Следующий пост лучше всего подводит итог в блоге luxsci.com

Когда используются мастер-пароли, данные шифруются с использованием 3DES в режиме CBC по умолчанию . Если вы выбираете хороший, надежный мастер-пароль, тогда этот уровень шифрования должен подойти. 3DES рассчитан на общее использование до 2020 года .

Вы должны знать, что существуют программы, разработанные для взлома сохраненных паролей. Одной из таких программ является FireMaster . Если вы не выберете надежный мастер-пароль, ваша зашифрованная база данных может быть взломана


Интересно, сколько времени потребуется, чтобы взломать сохраненные пароли, и сколько времени потребуется, чтобы взломать сохраненные пароли с помощью мощного мастера pw. Хм, видите, это с 2009 года. Думаю, это должно быть то же самое.
Адам

3

Если вы являетесь пользователем Mac OS X, одно из соображений заключается в том, что он не интегрирован с ОС KeyChain (управление паролями). Вы можете использовать Camino, если вам нужен браузер Mozilla / Gecko, интегрированный на этом уровне.


4
Был не совсем вопрос.
Джои

1
@benc - Должна ли Mozilla добавить поддержку для этого?
1.21 гигаватт

Вы можете использовать брелок Услуги Интеграция аддон
MEMS

3

Это, вероятно, предвзятое личное мнение.

Мне кажется, что интеграция хранилища паролей в любую систему, которая предоставляет множество других функций, ослабляет их защиту от возможных уязвимостей в этой системе. Другие части объединенной системы образуют более слабые звенья в цепи безопасности. Также помогает использование нестандартной системы (см. Заключение по этой ссылке ).

Для этого я предпочитаю хранить их в зашифрованном файле TrueCrypt .

Некоторые другие обсуждения,


2
Отверстия остаются открытыми в Firefox Password Manager: «им не следует доверять свои пароли диспетчеру паролей на веб-сайтах, которые позволяют другим пользователям создавать свои собственные страницы, содержащие скрипты». Ответ: «Речь идет не о безопасности Firefox. Речь идет о безопасности веб-сайтов, которые позволяют пользователям вставлять код Javascript на свои сайты». Вывод: менеджер паролей «небезопасен» на сайтах, которые по своей сути небезопасны .
любопытный парень

1
@curiousguy: то же самое будет верно для любого менеджера паролей - пароли всегда нужно вводить в любую веб-форму в виде простого текста. Это не ошибка безопасности в менеджере паролей.
naught101

В 2019 году Truecrypt устарел с известными уязвимостями (CVE-2015-7358) и сменил Veracrypt . На самом деле это хороший пример того, о чем говорил Ник. Криптографическая реализация до сих пор не известна как уязвимая, но компонент самой программы может использоваться злоумышленником на уровне пользователя для получения повышенных привилегий. Разработчики Veracrypt решили эти проблемы и прошли аудит.
Эйкр

2

Я пробовал LastPass, и это, на мой взгляд, присуще слабость. А именно, что, хотя у него есть виртуальная клавиатура, это только открывает ваше хранилище LastPass. Это не только отображает сайты, к которым у вас есть пароли (хорошо, сами пароли «скрыты»), но каждый раз, когда вы хотите войти на сайт, вам нужно вводить мастер-пароль, для которого нет виртуальной клавиатуры.

Я запустил тест кейлоггера, и он таким образом перехватил бы мой пароль. Так что теперь хакер имеет доступ не только к одному сайту, но и к моему хранилищу, т.е. ко всем моим логинам. Теперь вы можете отключить «запрос пароля», поэтому вводите пароль только один раз с виртуальной клавиатуры, а не при каждом входе в систему.

Проблема, с которой я столкнулся, заключается в том, что LastPass работает в вашем браузере, и хакер может войти на сайт, не зная вашего мастер-пароля, так как он эффективно открыт. LastPass должен использовать виртуальную клавиатуру, аналогичную RoboForm или Kaspersky Password Manager.

Firefox и большинство других менеджеров паролей страдают от аналогичной ошибки: ввод мастер-пароля небезопасным способом.


0

Какие "данные" зашифрованы? Только пароли или URL-адреса?

Мне интересно, можно ли его сломать, используя " шпаргалки ", такие как "facebook", "youtube", "gmail" ...

РЕДАКТИРОВАТЬ: согласно автору FirePassword / FireMaster, только пароли и логины шифруются :) http://securityxploded.com/firepassword.php

Файл key3.db содержит информацию, связанную с мастер-паролем, такую ​​как зашифрованная строка проверки пароля, соль, алгоритм и информация о версии и т. Д.

Файл Signons.txt содержит актуальную информацию о входе в систему. Список отклоненных хостов: список веб-сайтов, для которых пользователь не хочет, чтобы Firefox запоминал учетные данные. Обычный список хостов: за каждым URL хоста следуют имя пользователя и пароль.


0

Есть отличный онлайн менеджер паролей под названием Clipperz . Это здорово для возможности получить доступ к вашим паролям с любого компьютера. Вы также можете разместить программное обеспечение у своего хостинг-провайдера. Это не так удобно, как менеджер паролей Firefox, потому что вам нужно войти в систему, чтобы получить доступ к вашим паролям, но для возможности иметь ваши пароли там, где есть подключение к Интернету, действительно удобно для меня.


0

Я настоятельно рекомендую вместо этого использовать LastPass . Менеджер паролей Firefox лучше, чем ничего, но даже с мастер-паролем он не так уж и безопасен.

Если вы также хотите поделиться своими паролями между несколькими браузерами и ПК, попробуйте LastPass], поскольку они действительно нашли отличный и безопасный способ поделиться своими паролями, сохраняя при этом их безопасность.

Они также подробно объясняют свою технологию, поэтому вы можете проверить, насколько точно они защищают пароли. Единственный «минус»: вы должны использовать javascript, так как они используют его для шифрования и дешифрования ваших паролей.


6
Пожалуйста, объясните, почему вы сказали, что «менеджер паролей Firefox [...] даже с мастер-паролем [не] не так уж и безопасен»
Джош

0

Для тех, кто спрашивает, что зашифровано, пароли или также URL, URL не зашифрованы ни в одном из представленных решений.

Проблема начинается, если браузер вошел на сайт с установленным флажком «оставаться в системе» в форме входа на сайт. Сессия остается открытой в течение нескольких дней, даже недель. Если компьютер унаследует вредоносное ПО, вредоносное ПО может просто зайти на сайт и совершить плохие поступки.

К другой теме у меня также есть, например, пароль PayPal, установленный в менеджере паролей Firefox. Сейчас я просто жду, когда вредоносное ПО очистит мою учетную запись CC. Вероятно, этого не произошло, так как немногие другие имеют свой пароль PayPal / Amazon в Firefox.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.