Насколько безопасный менеджер паролей Firefox?
7 ответов
Следующее сообщение подводит итог его лучше всего из блога luxsci.com
Когда Основные пароли используются, данные шифруются с помощью 3DES в режиме CBC по умолчанию. Если Вы выбираете хороший, сильный основной пароль, то этот уровень шифрования должен быть прекрасным. 3DES оценивается, чтобы быть хорошим для общего использования до 2020.
Необходимо знать, что существуют программы, там разработанные для взламывания сохраненных паролей. Одной такой программой является FireMaster. Если Вы не выбираете сильный Основной пароль, то Ваша зашифрованная база данных может быть восприимчива к тому, чтобы быть ворванным
Это - вероятно, смещенное личное мнение.
Я чувствую, что интеграция устройства хранения данных пароля в любую систему, которая обеспечивает много других функций, ослабляет их безопасность к уязвимостям, возможным в той системе. Другие части объединенной системы формируют более слабые ссылки в цепочке безопасности. Это также помогает использованию нестандартной системы (прочитайте заключение на этой ссылке).
С этой целью я предпочитаю хранить их в зашифрованном файле TrueCrypt.
Некоторые другие обсуждения,
- Дыры остаются открытыми в менеджере паролей Firefox 20 июля 2007.
- Восстановление пароля LastBit FireFox 1.0
Мне нравится часть о, "Обратите внимание на то, что только сохраненные пароли покажет Пароль FireFox. Если пользователь ввел пароль, но не сохранил его, пароль не покажут". - Перестрелка Менеджера паролей – eWallet по сравнению с KeePass по сравнению с LastPass, LastPass пользы
Какие "данные" шифруются? Просто пароли или URL также?
Я задаюсь вопросом, могло ли это быть повреждено с помощью "хлевов", таких как "Facebook", "YouTube", "Gmail"...
РЕДАКТИРОВАНИЕ: по словам автора FirePassword/FireMaster, только пароли и логины шифруются :) http://securityxploded.com/firepassword.php
key3.db файл содержит сопутствующую информацию основного пароля, такую как строка проверки зашифрованного пароля, соль, алгоритм и информация о версии и т.д.
Файл Signons.txt содержит фактический список Хоста Отклонения информации о входе в систему: Список веб-сайтов, за который пользователя не хотят, чтобы Firefox помнил учетные данные. Нормальный Список Хоста: Каждый URL хоста сопровождается именем пользователя и паролем.
Существует большой менеджер паролей онлайн под названием Clipperz. Это является большим для способности получить доступ к Вашим паролям от любого компьютера. Можно также разместить программное обеспечение на собственном поставщике услуг хостинга. Это не столь удобно как менеджер паролей Firefox becuase, действительно необходимо войти в систему для доступа к паролям, но для способности иметь пароли, где когда-либо существует интернет-соединение, действительно удобно для меня.
Я настоятельно рекомендую использовать LastPass вместо этого. Менеджер паролей Firefox лучше чем ничего, но даже с основным паролем, это не действительно настолько безопасно.
Если Вы также хотите совместно использовать свои пароли через несколько браузеров и ПК, дать LastPass] попытка, когда они действительно нашли большой и безопасный способ совместно использовать Ваши пароли при защите их.
Они также объясняют свою технологию подробно, таким образом, можно проверить, как точно они защищают пароли. Единственная "оборотная сторона": необходимо использовать JavaScript, как они используют его, чтобы зашифровать и дешифровать пароли.
Я попробовал LastPass, и он имеет, по-моему, свойственная слабость. А именно, это, хотя это имеет виртуальную клавиатуру, это только, открывает Ваше хранилище LastPass. Мало того, что это отображает сайты, для которых у Вас есть пароли (хорошо сами пароли 'скрыты'), но каждый раз, когда Вы хотите войти в систему в сайт, необходимо ввести основной пароль, для которого нет никакой виртуальной клавиатуры.
Я запустил тест клавиатурного перехватчика, и он прервет мой пароль этот путь. Таким образом, теперь у хакера есть доступ не только на один сайт, но и на мое хранилище т.е. все мои логины. Теперь можно отключить, 'требуют подсказки пароля', таким образом, Вы только ввели бы свой пароль однажды через виртуальную клавиатуру а не при каждом входе в систему.
Проблема, которую я имею с этим, состоит в том, поскольку LastPass работает в Вашем браузере, хакер мог войти в сайт, не имея необходимость знать Ваш основной пароль, поскольку это эффективно открыто. LastPass должен использовать виртуальную клавиатуру, подобную RoboForm или Kaspersky Password Manager.
Firefox и большинство других менеджеров паролей страдают от сходного отказа, записи основного пароля небезопасным способом.