Наскільки безпечний менеджер паролів Firefox?

Я використовую диспетчер паролів Firefox давно, але ніколи не перевіряв / перевіряв, наскільки це безпечно.

Наступна публікація підводить її найкраще з блогу luxsci.com

Коли використовуються головні паролі, за замовчуванням дані шифруються за допомогою 3DES в режимі CBC . Якщо ви вибрали хороший, міцний головний пароль, то цей рівень шифрування повинен бути нормальним. 3DES оцінюється як хороший для загального використання до 2020 року .

Ви повинні знати, що там є програми, розроблені для розлому збережених паролів. Однією з таких програм є FireMaster . Якщо ви не вибрали надійний головний пароль, то ваша зашифрована база даних може бути зламана

Якщо ви користувач Mac OS X, одна з міркувань полягає в тому, що він не інтегрований з ОС "KeyChain" на рівні ОС (управління паролем). Ви можете використовувати Camino, якщо хочете браузер mozilla / Gecko, інтегрований на цьому рівні.

Це, мабуть, упереджена особиста думка.

Я вважаю, що інтеграція зберігання паролів у будь-яку систему, яка надає багато інших функцій, послаблює їхню безпеку до можливих уразливостей у цій системі. Інші частини об'єднаної системи утворюють слабші ланки ланцюга безпеки. Також допомагає використання нестандартної системи ( читайте висновок за цим посиланням ).

З цією метою я вважаю за краще зберігати їх у зашифрованому файлі TrueCrypt .

Деякі інші дискусії,

• Отвори залишаються відкритими в Менеджері паролів Firefox , 20 липня 2007 року.
• LastBit FireFox Recovery Password 1.0 -
  Мені подобається частина про те, " Будь ласка, зауважте, що Firefox Password відображатиме лише збережені паролі. Якщо користувач ввів пароль, але не зберег його, пароль не відображатиметься ".
• Перестрілка менеджера паролів - eWallet проти KeePass проти LastPass , надає перевагу LastPass

Я спробував LastPass, і це, на мій погляд, властива слабкості. А саме, що хоча він має віртуальну клавіатуру, це лише відкриває ваш скарбник LastPass. Це не лише відображення сайтів, для яких є паролі (нормально, самі паролі "приховані"), але кожен раз, коли ви хочете увійти на сайт, вам потрібно ввести головний пароль, для якого немає віртуальної клавіатури.

Я провів тест кейлоггера, і він перехопив би мій пароль таким чином. Тож зараз хакер має доступ не лише до одного сайту, а до мого сховища, тобто до всіх моїх логінів. Тепер ви можете відключити "вимагати запрошення пароля", тому ви вводили свій пароль лише один раз за допомогою віртуальної клавіатури, а не при кожному вході.

Проблема у мене з цим полягає в тому, що LastPass працює у вашому браузері, хакер може увійти на сайт, не знаючи вашого головного пароля, оскільки він фактично відкритий. LastPass повинен використовувати віртуальну клавіатуру, схожу на RoboForm або Kaspersky Password Manager.

Firefox та більшість інших менеджерів паролів страждають від подібної несправності, введення головного пароля в небезпечний спосіб.

Які "дані" зашифровані? Тільки паролі чи URL-адреси також?

Мені цікаво, чи можна її зламати за допомогою " шпаргалок ", таких як "facebook", "youtube", "gmail" ...

EDIT: за словами автора FirePassword / FireMaster, шифруються лише паролі та входи:) http://securityxploded.com/firepassword.php

Файл key3.db містить головну інформацію, пов'язану з паролем, таку як зашифрований рядок перевірки пароля, сіль, алгоритм та інформація про версію тощо.

Файл Signons.txt містить фактичну інформацію про вхід. Відхилити список хостів: Список веб-сайтів, для яких користувач не хоче, щоб Firefox запам'ятовував облікові дані. Нормальний список хостів: за кожною URL-адресою хосту слід додати ім’я користувача та пароль.

Є чудовий менеджер паролів в Інтернеті під назвою Clipperz . Це чудово, що ви можете отримати доступ до своїх паролів з будь-якого комп’ютера. Ви також можете розмістити програмне забезпечення у власного хостинг-провайдера. Це не так зручно, як менеджер паролів Firefox, тому що ви дійсно повинні увійти, щоб отримати доступ до своїх паролів, але можливість мати свої паролі там, де завжди є з'єднання з Інтернетом, мені дуже зручно.

Настійно рекомендую замість цього використовувати LastPass . Менеджер паролів Firefox краще, ніж нічого, але навіть з головним паролем це не дуже безпечно.

Якщо ви також хочете поділитися своїми паролями в декількох браузерах та ПК, спробуйте LastPass], оскільки вони дійсно знайшли чудовий та безпечний спосіб поділитися своїми паролями, зберігаючи їх у безпеці.

Вони також детально пояснюють свою технологію, тому ви можете перевірити, як саме вони захищають паролі. Єдиний "мінус": ви повинні використовувати javascript, оскільки вони використовують його для шифрування та розшифровки ваших паролів.

Для тих, хто запитує, що зашифровано, паролі чи URL-адреси, URL-адреси не шифруються в жодному із представлених рішень.

Проблема починається, якщо веб-переглядач увійшов на сайт, встановивши прапорець «Залишитись увійти» у формі входу на сайт. Сесія залишається відкритою протягом днів, навіть тижнів. Якщо комп'ютер успадковує зловмисне програмне забезпечення, зловмисне програмне забезпечення може просто вийти на сайт і зробити це поганими вчинками.

До іншої теми, у мене також є, наприклад, пароль paypal, встановлений у менеджері паролів Firefox. Тепер я просто чекаю, коли зловмисне програмне забезпечення спорожнить мій рахунок CC. Це, мабуть, не трапилось, оскільки мало хто інший встановив свій пароль для paypal / amazon у firefox.