Ответы:
Следующий пост лучше всего подводит итог в блоге luxsci.com
Когда используются мастер-пароли, данные шифруются с использованием 3DES в режиме CBC по умолчанию . Если вы выбираете хороший, надежный мастер-пароль, тогда этот уровень шифрования должен подойти. 3DES рассчитан на общее использование до 2020 года .
Вы должны знать, что существуют программы, разработанные для взлома сохраненных паролей. Одной из таких программ является FireMaster . Если вы не выберете надежный мастер-пароль, ваша зашифрованная база данных может быть взломана
Если вы являетесь пользователем Mac OS X, одно из соображений заключается в том, что он не интегрирован с ОС KeyChain (управление паролями). Вы можете использовать Camino, если вам нужен браузер Mozilla / Gecko, интегрированный на этом уровне.
Это, вероятно, предвзятое личное мнение.
Мне кажется, что интеграция хранилища паролей в любую систему, которая предоставляет множество других функций, ослабляет их защиту от возможных уязвимостей в этой системе. Другие части объединенной системы образуют более слабые звенья в цепи безопасности. Также помогает использование нестандартной системы (см. Заключение по этой ссылке ).
Для этого я предпочитаю хранить их в зашифрованном файле TrueCrypt .
Некоторые другие обсуждения,
Я пробовал LastPass, и это, на мой взгляд, присуще слабость. А именно, что, хотя у него есть виртуальная клавиатура, это только открывает ваше хранилище LastPass. Это не только отображает сайты, к которым у вас есть пароли (хорошо, сами пароли «скрыты»), но каждый раз, когда вы хотите войти на сайт, вам нужно вводить мастер-пароль, для которого нет виртуальной клавиатуры.
Я запустил тест кейлоггера, и он таким образом перехватил бы мой пароль. Так что теперь хакер имеет доступ не только к одному сайту, но и к моему хранилищу, т.е. ко всем моим логинам. Теперь вы можете отключить «запрос пароля», поэтому вводите пароль только один раз с виртуальной клавиатуры, а не при каждом входе в систему.
Проблема, с которой я столкнулся, заключается в том, что LastPass работает в вашем браузере, и хакер может войти на сайт, не зная вашего мастер-пароля, так как он эффективно открыт. LastPass должен использовать виртуальную клавиатуру, аналогичную RoboForm или Kaspersky Password Manager.
Firefox и большинство других менеджеров паролей страдают от аналогичной ошибки: ввод мастер-пароля небезопасным способом.
Какие "данные" зашифрованы? Только пароли или URL-адреса?
Мне интересно, можно ли его сломать, используя " шпаргалки ", такие как "facebook", "youtube", "gmail" ...
РЕДАКТИРОВАТЬ: согласно автору FirePassword / FireMaster, только пароли и логины шифруются :) http://securityxploded.com/firepassword.php
Файл key3.db содержит информацию, связанную с мастер-паролем, такую как зашифрованная строка проверки пароля, соль, алгоритм и информация о версии и т. Д.
Файл Signons.txt содержит актуальную информацию о входе в систему. Список отклоненных хостов: список веб-сайтов, для которых пользователь не хочет, чтобы Firefox запоминал учетные данные. Обычный список хостов: за каждым URL хоста следуют имя пользователя и пароль.
Есть отличный онлайн менеджер паролей под названием Clipperz . Это здорово для возможности получить доступ к вашим паролям с любого компьютера. Вы также можете разместить программное обеспечение у своего хостинг-провайдера. Это не так удобно, как менеджер паролей Firefox, потому что вам нужно войти в систему, чтобы получить доступ к вашим паролям, но для возможности иметь ваши пароли там, где есть подключение к Интернету, действительно удобно для меня.
Я настоятельно рекомендую вместо этого использовать LastPass . Менеджер паролей Firefox лучше, чем ничего, но даже с мастер-паролем он не так уж и безопасен.
Если вы также хотите поделиться своими паролями между несколькими браузерами и ПК, попробуйте LastPass], поскольку они действительно нашли отличный и безопасный способ поделиться своими паролями, сохраняя при этом их безопасность.
Они также подробно объясняют свою технологию, поэтому вы можете проверить, насколько точно они защищают пароли. Единственный «минус»: вы должны использовать javascript, так как они используют его для шифрования и дешифрования ваших паролей.
Для тех, кто спрашивает, что зашифровано, пароли или также URL, URL не зашифрованы ни в одном из представленных решений.
Проблема начинается, если браузер вошел на сайт с установленным флажком «оставаться в системе» в форме входа на сайт. Сессия остается открытой в течение нескольких дней, даже недель. Если компьютер унаследует вредоносное ПО, вредоносное ПО может просто зайти на сайт и совершить плохие поступки.
К другой теме у меня также есть, например, пароль PayPal, установленный в менеджере паролей Firefox. Сейчас я просто жду, когда вредоносное ПО очистит мою учетную запись CC. Вероятно, этого не произошло, так как немногие другие имеют свой пароль PayPal / Amazon в Firefox.