Насколько безопасен менеджер паролей Firefox?

Следующий пост лучше всего подводит итог в блоге luxsci.com

Когда используются мастер-пароли, данные шифруются с использованием 3DES в режиме CBC по умолчанию . Если вы выбираете хороший, надежный мастер-пароль, тогда этот уровень шифрования должен быть в порядке. 3DES рассчитан на общее использование до 2020 года .

Вы должны знать, что существуют программы, разработанные для взлома сохраненных паролей. Одной из таких программ является FireMaster . Если вы не выберете надежный мастер-пароль, ваша зашифрованная база данных может быть взломана

Если вы являетесь пользователем Mac OS X, одно из соображений заключается в том, что он не интегрирован с ОС KeyChain (управление паролями). Вы можете использовать Camino, если вам нужен браузер Mozilla / Gecko, интегрированный на этом уровне.

Это, вероятно, предвзятое личное мнение.

Я чувствую, что интеграция хранилища паролей в любую систему, которая предоставляет множество других функций, ослабляет их защиту от возможных уязвимостей в этой системе. Другие части объединенной системы образуют более слабые звенья в цепи безопасности. Также помогает использование нестандартной системы (см. Заключение по этой ссылке ).

Для этого я предпочитаю хранить их в зашифрованном файле TrueCrypt .

Некоторые другие обсуждения,

• Отверстия остаются открытыми в Firefox Password Manager, 20 июля 2007 г.
• LastBit FireFox Password Recovery 1.0
  Мне нравится часть о том, что « Обратите внимание, что FireFox Password показывает только сохраненные пароли. Если пользователь ввел пароль, но не сохранил его, пароль не будет показан ».
• Перебор Менеджера паролей - электронный кошелек против KeePass против LastPass, одобряет LastPass

Я пробовал LastPass, и у него, по моему мнению, есть слабость. А именно, что хотя у него есть виртуальная клавиатура, это только открывает ваше хранилище LastPass. Это не только отображает сайты, к которым у вас есть пароли (хорошо, сами пароли «скрыты»), но каждый раз, когда вы хотите войти на сайт, вы должны вводить мастер-пароль, для которого нет виртуальной клавиатуры.

Я запустил тест кейлоггера, и он таким образом перехватил бы мой пароль. Так что теперь хакер имеет доступ не только к одному сайту, но и к моему хранилищу, т.е. ко всем моим логинам. Теперь вы можете отключить «запрос пароля», поэтому вводите пароль только один раз с виртуальной клавиатуры, а не при каждом входе в систему.

Проблема, с которой я столкнулся, заключается в том, что LastPass работает в вашем браузере, хакер может войти на сайт, не зная вашего мастер-пароля, поскольку он эффективно открыт. LastPass должен использовать виртуальную клавиатуру, аналогичную RoboForm или Kaspersky Password Manager.

Firefox и большинство других менеджеров паролей страдают от аналогичной ошибки: ввод мастер-пароля небезопасным способом.

Какие «данные» зашифрованы? Только пароли или URL-адреса?

Мне интересно, можно ли его сломать, используя " шпаргалки ", такие как "facebook", "youtube", "gmail" ...

РЕДАКТИРОВАТЬ: по словам автора FirePassword / FireMaster, только пароли и логины зашифрованы :) http://securityxploded.com/firepassword.php

Файл key3.db содержит информацию, связанную с мастер-паролем, такую ​​как зашифрованная строка проверки пароля, соль, алгоритм и информация о версии и т. Д.

Файл Signons.txt содержит актуальную информацию о входе в систему. Список отклоненных хостов: список веб-сайтов, для которых пользователь не хочет, чтобы Firefox запоминал учетные данные. Обычный список хостов: за каждым URL хоста следуют имя пользователя и пароль.

Есть отличный онлайн менеджер паролей под названием Clipperz . Это здорово для возможности получить доступ к вашим паролям с любого компьютера. Вы также можете разместить программное обеспечение у своего хостинг-провайдера. Это не так удобно, как менеджер паролей Firefox, потому что вам нужно войти в систему, чтобы получить доступ к вашим паролям, но для возможности иметь ваши пароли там, где есть подключение к интернету, действительно удобно для меня.

Я настоятельно рекомендую вместо этого использовать LastPass . Менеджер паролей Firefox лучше, чем ничего, но даже с мастер-паролем он не так уж и безопасен.

Если вы также хотите поделиться своими паролями между несколькими браузерами и ПК, попробуйте LastPass], поскольку они действительно нашли отличный и безопасный способ поделиться своими паролями, сохраняя при этом их безопасность.

Они также подробно объясняют свою технологию, поэтому вы можете проверить, насколько точно они защищают пароли. Единственный «минус»: вы должны использовать javascript, так как они используют его для шифрования и дешифрования ваших паролей.

Для тех, кто спрашивает, что зашифровано, пароли или также URL-адреса, URL-адреса не зашифрованы ни в одном из представленных решений.

Проблема начинается, если браузер вошел на сайт с установленным флажком «оставаться в системе» в форме входа на сайт. Сессия остается открытой в течение нескольких дней, даже недель. Если компьютер наследует вредоносное ПО, вредоносное ПО может просто зайти на сайт и совершить плохие поступки.

К другой теме у меня также есть, например, пароль PayPal, установленный в менеджере паролей Firefox. Сейчас я просто жду, когда вредоносное ПО очистит мою учетную запись CC. Вероятно, этого не произошло, так как немногие другие имеют свой пароль PayPal / Amazon в Firefox.