ตัวจัดการรหัสผ่าน Firefox ปลอดภัยแค่ไหน?

49

ฉันใช้ตัวจัดการรหัสผ่าน Firefox มานาน แต่ไม่เคยตรวจสอบ / ตรวจสอบความปลอดภัย

firefox  security  password-management 
Shameem
แหล่งที่มา
อาจมีการถามเรื่องความปลอดภัยที่ดีกว่านี้
naught101

คำตอบ:

27

โพสต์ต่อไปนี้สรุปได้ดีที่สุดจากบล็อก luxsci.com

เมื่อโทรหัสผ่านในการใช้ข้อมูลที่ถูกเข้ารหัสโดยใช้3DES ในโหมด CBC โดยค่าเริ่มต้น หากคุณเลือกรหัสผ่านหลักที่ดีและแข็งแกร่งการเข้ารหัสระดับนี้น่าจะดี 3DES จัดอยู่ในอันดับจะดีสำหรับการใช้งานทั่วไปผ่าน 2020

คุณควรทราบว่ามีโปรแกรมที่ออกแบบมาเพื่อเปิดรหัสผ่านที่บันทึกไว้ โปรแกรมหนึ่งนั้นคือFireMaster หากคุณไม่ได้เลือกรหัสผ่านหลักที่รัดกุมฐานข้อมูลที่เข้ารหัสของคุณอาจไวต่อการถูกบุกรุก

Vdex
แหล่งที่มา
ฉันสงสัยว่าจะใช้เวลานานเท่าใดในการถอดรหัสรหัสผ่านที่บันทึกไว้และใช้เวลานานเท่าใดในการถอดรหัสรหัสผ่านที่บันทึกไว้ด้วย pw มาสเตอร์ที่แข็งแกร่ง อืมดูนี่คือจากปี 2009 ลองคิดดูว่ามันคงเดิม
Adam
3

หากคุณเป็นผู้ใช้ Mac OS X หนึ่งในข้อควรพิจารณาคือไม่ได้รวมเข้ากับ "KeyChain" ระดับ OS (การจัดการรหัสผ่าน) คุณสามารถใช้ Camino หากคุณต้องการเบราว์เซอร์ mozilla / Gecko ที่รวมอยู่ในระดับนี้

Benc
แหล่งที่มา
4
ไม่ได้เป็นคำถามที่แน่นอน
Joey
1
@benc - Mozilla ควรหรือต้องการเพิ่มการสนับสนุนสำหรับสิ่งนี้หรือไม่?
1.21 gigawatts
คุณสามารถใช้บริการการรวม Keychain Services
mems
3

นี่อาจเป็นความเห็นส่วนตัวที่ลำเอียง

ฉันรู้สึกว่าการรวมที่เก็บรหัสผ่านไว้ในระบบใด ๆ ที่มีคุณสมบัติอื่น ๆ อีกมากมายทำให้ความปลอดภัยของพวกเขาอ่อนแอลงไปในช่องโหว่ที่เป็นไปได้ในระบบนั้น ส่วนอื่น ๆ ของระบบรวมกันนั้นเป็นลิงค์ที่อ่อนแอกว่าในห่วงโซ่ความปลอดภัย นอกจากนี้ยังช่วยในการใช้ระบบที่ไม่ได้มาตรฐาน ( อ่านข้อสรุปในลิงค์นี้ )

ด้วยเหตุนี้ฉันชอบเก็บไว้ในไฟล์ที่เข้ารหัสTrueCrypt

การอภิปรายอื่น ๆ

nik
แหล่งที่มา
2
โฮลยังคงเปิดอยู่ในโปรแกรมจัดการรหัสผ่าน Firefox "พวกเขาไม่ควรมอบรหัสผ่านให้กับผู้จัดการรหัสผ่านบนเว็บไซต์ที่อนุญาตให้ผู้ใช้รายอื่นสร้างเพจของตัวเองที่มีสคริปต์" คำตอบ: "มันไม่เกี่ยวกับความปลอดภัยของ Firefox มันเป็นเรื่องของความปลอดภัยของเว็บไซต์ที่อนุญาตให้ผู้ใช้ใส่รหัส Javascript ลงในเว็บไซต์ของพวกเขา" สรุป: ผู้จัดการรหัสผ่านคือ "ไม่ปลอดภัย" ในเว็บไซต์ที่ไม่ปลอดภัยโดยเนื้อแท้
2012
1
@currguy: สิ่งนี้จะเป็นจริงเกี่ยวกับตัวจัดการรหัสผ่านใด ๆ - ต้องใส่รหัสผ่านในเว็บฟอร์มด้วยข้อความธรรมดาเสมอ นั่นไม่ใช่ข้อบกพร่องด้านความปลอดภัยในเครื่องมือจัดการรหัสผ่าน
naught101
ที่ของ 2019 Truecrypt จะเลิกกับช่องโหว่ (CVE-2015-7358) และประสบความสำเร็จโดยVeracrypt นี่เป็นตัวอย่างที่ดีของสิ่งที่นิคพูดถึง การใช้งานการเข้ารหัสยังไม่ทราบว่ามีช่องโหว่ แต่ผู้โจมตีระดับผู้ใช้สามารถใช้คุณสมบัติของโปรแกรมเองเพื่อรับสิทธิ์ในระดับสูง Veracrypt devs แก้ไขปัญหาเหล่านี้แล้วและผ่านการตรวจสอบ
Eikre
2

ฉันลองใช้ LastPass แล้วและในความคิดของฉันมันเป็นจุดอ่อน กล่าวคือแม้ว่ามันจะมีคีย์บอร์ดเสมือนสิ่งนี้จะเปิด vault LastPass ของคุณเท่านั้น สิ่งนี้ไม่เพียงแสดงเว็บไซต์ที่คุณมีรหัสผ่านสำหรับ (ตกลงรหัสผ่านตัวเองเป็น 'ซ่อน') แต่ทุกครั้งที่คุณต้องการเข้าสู่ระบบในเว็บไซต์คุณจะต้องป้อนรหัสผ่านหลักที่ไม่มีแป้นพิมพ์เสมือนจริง

ฉันรันการทดสอบ keylogger และจะมีการดักรหัสผ่านของฉันด้วยวิธีนี้ ตอนนี้แฮ็กเกอร์สามารถเข้าถึงได้ไม่เพียงแค่เว็บไซต์เดียว แต่สำหรับห้องนิรภัยของฉันนั่นคือการเข้าสู่ระบบทั้งหมดของฉัน ตอนนี้คุณสามารถปิดการใช้งาน 'ต้องมีการแจ้งรหัสผ่าน' ดังนั้นคุณจะต้องป้อนรหัสผ่านเพียงครั้งเดียวผ่านแป้นพิมพ์เสมือนจริงและไม่ต้องลงชื่อเข้าใช้แต่ละครั้ง

ปัญหาที่ฉันมีคือ LastPass ทำงานในเบราว์เซอร์ของคุณแฮกเกอร์สามารถเข้าสู่เว็บไซต์โดยไม่ต้องรู้รหัสผ่านหลักของคุณเนื่องจากมันเปิดอย่างมีประสิทธิภาพ LastPass จำเป็นต้องใช้คีย์บอร์ดเสมือนที่คล้ายกับ RoboForm หรือ Kaspersky Password Manager

Firefox และตัวจัดการรหัสผ่านอื่น ๆ ส่วนใหญ่ประสบกับข้อผิดพลาดที่คล้ายกันการป้อนรหัสผ่านหลักในลักษณะที่ไม่ปลอดภัย

คริส
แหล่งที่มา
0

"ข้อมูล" ถูกเข้ารหัสอะไร? เพียงแค่รหัสผ่านหรือ URL เช่นกัน?

ฉันสงสัยว่ามันอาจจะเสียโดยใช้ " เปล " เช่น "facebook", "youtube", "gmail" ...

แก้ไข: ตามที่ผู้เขียนของ FirePassword / FireMaster เพียงรหัสผ่านและการเข้าสู่ระบบที่ถูกเข้ารหัส :) http://securityxploded.com/firepassword.php

ไฟล์ key3.db มีข้อมูลที่เกี่ยวข้องกับรหัสผ่านหลักเช่นสตริงการตรวจสอบรหัสผ่านที่เข้ารหัส, เกลือ, อัลกอริทึมและข้อมูลรุ่นอื่น ๆ

ไฟล์ Signons.txt มีข้อมูลการลงชื่อเข้าใช้จริงปฏิเสธรายชื่อโฮสต์: รายชื่อเว็บไซต์ที่ผู้ใช้ไม่ต้องการให้ Firefox จำข้อมูลรับรอง รายชื่อโฮสต์ปกติ: URL โฮสต์แต่ละรายการตามด้วยชื่อผู้ใช้และรหัสผ่าน

มนุ
แหล่งที่มา
0

มีผู้จัดการรหัสผ่านออนไลน์ที่ดีเรียกว่าเป็นClipperz เป็นการดีสำหรับความสามารถในการเข้าถึงรหัสผ่านของคุณจากคอมพิวเตอร์เครื่องใดก็ได้ คุณสามารถโฮสต์ซอฟต์แวร์กับผู้ให้บริการโฮสต์ของคุณเอง ไม่สะดวกเท่าที่ผู้จัดการรหัสผ่านของ Firefox เพราะคุณต้องเข้าสู่ระบบเพื่อเข้าถึงรหัสผ่านของคุณ แต่สำหรับความสามารถในการมีรหัสผ่านที่เคยมีการเชื่อมต่ออินเทอร์เน็ตมันมีประโยชน์สำหรับฉันจริงๆ

Spidey
แหล่งที่มา
0

ฉันขอแนะนำให้ใช้LastPassแทน ตัวจัดการรหัสผ่าน Firefox นั้นดีกว่าไม่มีอะไร แต่ถึงแม้จะมีรหัสผ่านหลัก แต่ก็ไม่ปลอดภัยอย่างแท้จริง

หากคุณต้องการแบ่งปันรหัสผ่านของคุณในเบราว์เซอร์และพีซีหลายเครื่องให้ลองใช้ LastPass] เพราะพวกเขาพบวิธีที่ยอดเยี่ยมและปลอดภัยในการแชร์รหัสผ่านของคุณในขณะที่ยังคงปลอดภัยอยู่

พวกเขายังอธิบายเทคโนโลยีของพวกเขาในรายละเอียดเพื่อให้คุณสามารถตรวจสอบว่าพวกเขากำลังปกป้องรหัสผ่าน "ข้อเสีย" เพียงอย่างเดียว: คุณต้องใช้จาวาสคริปต์เนื่องจากมันใช้เพื่อเข้ารหัสและถอดรหัสรหัสผ่านของคุณ

แฟรงค์
แหล่งที่มา
6
โปรดอธิบายว่าทำไมคุณถึงพูดว่า "ตัวจัดการรหัสผ่าน Firefox [... ] แม้จะมีรหัสผ่านหลัก [ไม่] ปลอดภัยอย่างนั้น"
Josh
0

สำหรับผู้ที่ถามว่ามีการเข้ารหัสรหัสผ่านหรือ URL อะไร URL นั้นจะไม่ถูกเข้ารหัสในโซลูชันที่นำเสนอ

ปัญหาเริ่มต้นขึ้นหากเบราว์เซอร์ได้รับการเข้าสู่เว็บไซต์ที่มีช่องทำเครื่องหมาย "อยู่ในระบบ" เลือกในแบบฟอร์มการเข้าสู่ระบบเว็บไซต์ เซสชั่นยังคงเปิดสำหรับวันหรือสัปดาห์ หากคอมพิวเตอร์สืบทอดมัลแวร์มัลแวร์ก็สามารถเข้ามาในเว็บไซต์และทำสิ่งที่ไม่ดี

ในอีกเรื่องหนึ่งสำหรับฉันมีเช่นรหัสผ่าน paypal ที่ตั้งไว้ในตัวจัดการรหัสผ่าน firefox ตอนนี้ฉันแค่รอมัลแวร์เพื่อล้างบัญชี CC ของฉัน มันไม่ได้เกิดขึ้นเพราะบางคนมีรหัสผ่าน paypal / amazon ของพวกเขาตั้งอยู่ใน firefox

Antti Rytsölä Circles ปรึกษา
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.