Trình quản lý mật khẩu Firefox an toàn như thế nào?


49

Tôi đã sử dụng trình quản lý mật khẩu Firefox trong một thời gian dài, nhưng chưa bao giờ kiểm tra / xác minh mức độ an toàn của nó.


Điều này có thể được yêu cầu tốt hơn về bảo mật.SE.
ness101

Câu trả lời:


27

Bài viết sau đây tổng hợp nó tốt nhất từ blog luxsci.com

Khi Mật khẩu chủ được sử dụng, dữ liệu được mã hóa bằng 3DES ở chế độ CBC theo mặc định . Nếu bạn chọn một mật khẩu chính tốt, mạnh, thì mức mã hóa này sẽ ổn. 3DES được đánh giá là tốt cho sử dụng chung cho đến năm 2020 .

Bạn nên biết rằng có những chương trình được thiết kế để mở mật khẩu đã lưu. Một chương trình như vậy là FireMaster . Nếu bạn không chọn Mật khẩu chủ mạnh, thì cơ sở dữ liệu được mã hóa của bạn có thể dễ bị xâm nhập


Tôi tự hỏi sẽ mất bao lâu để bẻ khóa mật khẩu đã lưu và mất bao lâu để bẻ khóa mật khẩu đã lưu với pw master mạnh. Hmm, xem đây là từ năm 2009. Đoán nó phải giống nhau.
Adam

3

Nếu bạn là người dùng Mac OS X, một trong những cân nhắc là nó không được tích hợp với "KeyChain" cấp quản lý (quản lý mật khẩu). Bạn có thể sử dụng Camino nếu bạn muốn một trình duyệt mozilla / Gecko được tích hợp ở cấp độ này.


4
Không chính xác câu hỏi.
Joey

1
@benc - Mozilla nên hay muốn thêm hỗ trợ cho việc này?
1,21 gigawatt

Bạn có thể sử dụng addon Keychain Services Integration
mems

3

Đây có lẽ là một quan điểm cá nhân thiên vị.

Tôi cảm thấy rằng việc tích hợp lưu trữ mật khẩu vào bất kỳ hệ thống nào cung cấp nhiều tính năng khác làm suy yếu tính bảo mật của chúng đối với các lỗ hổng có thể có trong hệ thống đó. Các phần khác của hệ thống kết hợp tạo thành các liên kết yếu hơn trong chuỗi bảo mật. Nó cũng giúp sử dụng một hệ thống không chuẩn ( đọc kết luận về liên kết này ).

Cuối cùng, tôi thích lưu trữ chúng trong một tệp được mã hóa TrueCrypt .

Một số thảo luận khác,


2
Lỗ vẫn mở trong Trình quản lý mật khẩu Firefox "họ không nên giao mật khẩu của mình cho trình quản lý mật khẩu trên các trang web cho phép người dùng khác tạo các trang của riêng họ có chứa các tập lệnh." Trả lời: "Đây không phải là về sự an toàn của Firefox. Đó là về sự an toàn của các trang web cho phép người dùng chèn mã Javascript vào trang web của họ." kết luận: trình quản lý mật khẩu "không an toàn" trên các trang web vốn không an toàn .
tò mò

1
@cquilguy: điều tương tự cũng đúng với bất kỳ trình quản lý mật khẩu nào - mật khẩu luôn phải được nhập vào bất kỳ biểu mẫu web nào trong văn bản thuần túy. Đó không phải là một lỗ hổng bảo mật trong trình quản lý mật khẩu.
ness101

Vào năm 2019, Truecrypt không được chấp nhận với các lỗ hổng đã biết (CVE-2015-7353) và đã thành công bởi Veracrypt . Đây thực sự là một ví dụ tốt về những gì Nik đã nói về. Việc triển khai mật mã vẫn chưa được biết là dễ bị tổn thương, nhưng một tính năng của chính chương trình có thể được sử dụng bởi kẻ tấn công ở cấp độ người dùng để có được các đặc quyền nâng cao. Các nhà phát triển Veracrypt đã khắc phục những vấn đề này và thông qua kiểm toán.
Eikre

2

Tôi đã thử LastPass và theo ý kiến ​​của tôi, đó là một điểm yếu cố hữu. Cụ thể, mặc dù nó có bàn phím ảo, nhưng điều này chỉ mở ra hầm LastPass của bạn. Điều này không chỉ hiển thị các trang web bạn có mật khẩu (ok mật khẩu bị 'ẩn') mà mỗi lần bạn muốn đăng nhập vào một trang web, bạn cần nhập mật khẩu chính không có bàn phím ảo.

Tôi đã chạy thử nghiệm keylogger và nó sẽ chặn mật khẩu của tôi theo cách này. Vì vậy, bây giờ tin tặc có quyền truy cập không chỉ vào một trang web mà còn vào kho tiền của tôi tức là tất cả thông tin đăng nhập của tôi. Bây giờ bạn có thể tắt 'yêu cầu nhắc mật khẩu', vì vậy bạn sẽ chỉ nhập mật khẩu của mình một lần qua bàn phím ảo chứ không phải mỗi lần đăng nhập.

Vấn đề tôi gặp phải là vì LastPass hoạt động trong trình duyệt của bạn, một hacker có thể đăng nhập vào một trang web mà không cần phải biết mật khẩu chính của bạn vì nó đang mở một cách hiệu quả. LastPass cần sử dụng một bàn phím ảo tương tự RoboForm hoặc Kaspersky Password Manager.

Firefox và hầu hết các trình quản lý mật khẩu khác đều gặp phải lỗi tương tự, việc nhập mật khẩu chính theo cách không an toàn.


0

"Dữ liệu" nào được mã hóa? Chỉ là mật khẩu, hoặc các url là tốt?

Tôi tự hỏi liệu nó có thể bị phá vỡ bằng cách sử dụng " cũi " như "facebook", "youtube", "gmail" ...

EDIT: theo tác giả của FirePassword / FireMaster, chỉ có mật khẩu và thông tin đăng nhập được mã hóa :) http://securityxploding.com/firepassword.php

Tệp key3.db chứa thông tin liên quan đến mật khẩu chính như chuỗi kiểm tra mật khẩu được mã hóa, muối, thuật toán và thông tin phiên bản, v.v.

Tệp Signons.txt chứa thông tin đăng nhập thực tế Từ chối danh sách Máy chủ: Danh sách các trang web mà người dùng không muốn Firefox ghi nhớ thông tin đăng nhập. Danh sách máy chủ bình thường: Mỗi URL máy chủ được theo sau bởi tên người dùng và mật khẩu.


0

Có một trình quản lý mật khẩu trực tuyến tuyệt vời được gọi là Clipperz . Thật tuyệt khi có thể truy cập mật khẩu của bạn từ bất kỳ máy tính nào. Bạn cũng có thể lưu trữ phần mềm trên nhà cung cấp dịch vụ lưu trữ của riêng bạn. Nó không thuận tiện như trình quản lý mật khẩu của Firefox vì bạn phải đăng nhập để truy cập mật khẩu nhưng khả năng có mật khẩu của bạn ở bất cứ nơi nào có kết nối internet thực sự tiện dụng đối với tôi.


0

Tôi thực sự khuyên bạn nên sử dụng LastPass thay thế. Trình quản lý mật khẩu Firefox tốt hơn không có gì, nhưng ngay cả với mật khẩu chính, nó không thực sự an toàn.

Nếu bạn cũng muốn chia sẻ mật khẩu của mình trên nhiều trình duyệt và PC, hãy thử LastPass] vì họ thực sự tìm thấy một cách tuyệt vời và an toàn để chia sẻ mật khẩu của bạn, trong khi vẫn giữ an toàn.

Họ cũng giải thích chi tiết về công nghệ của họ, vì vậy bạn có thể kiểm tra chính xác họ đang bảo vệ mật khẩu như thế nào. "Nhược điểm" duy nhất: bạn phải sử dụng javascript, vì họ sử dụng nó để mã hóa và giải mã mật khẩu của bạn.


6
Vui lòng giải thích lý do tại sao bạn nói "Trình quản lý mật khẩu Firefox [...] ngay cả với mật khẩu chính [không] thực sự an toàn"
Josh

0

Đối với những người hỏi mã hóa, mật khẩu hoặc url là gì, các url không được mã hóa trong bất kỳ giải pháp nào được trình bày.

Vấn đề bắt đầu nếu trình duyệt đã đăng nhập vào một trang web với hộp kiểm "duy trì trạng thái đăng nhập" được chọn trên biểu mẫu đăng nhập trang web. Phiên vẫn mở trong nhiều ngày, thậm chí vài tuần. Nếu máy tính thừa hưởng phần mềm độc hại, phần mềm độc hại có thể xâm nhập vào trang web và thực hiện hành vi xấu đó.

Đối với chủ đề khác, tôi cũng có một ví dụ như mật khẩu paypal được đặt trong trình quản lý mật khẩu firefox. Bây giờ tôi chỉ chờ phần mềm độc hại làm trống tài khoản CC của mình. Nó có thể đã không xảy ra vì một số người khác có mật khẩu paypal / amazon của họ được đặt trong firefox.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.