Seberapa amankah pengelola kata sandi Firefox?

Saya telah menggunakan pengelola kata sandi Firefox untuk waktu yang lama, tetapi tidak pernah memeriksa / memverifikasi seberapa aman itu.

Posting berikut merangkum terbaik dari blog luxsci.com

Ketika Kata Sandi Utama digunakan, data dienkripsi menggunakan 3DES dalam mode CBC secara default . Jika Anda memilih kata sandi master yang bagus dan kuat, maka tingkat enkripsi ini akan baik-baik saja. 3DES dinilai bagus untuk penggunaan umum hingga 2020 .

Anda harus menyadari bahwa ada program di luar sana yang dirancang untuk membuka kembali kata sandi yang disimpan. Salah satu program tersebut adalah FireMaster . Jika Anda tidak memilih Kata Sandi Utama yang kuat, maka basis data terenkripsi Anda mungkin rentan untuk dibobol

Jika Anda adalah pengguna Mac OS X, salah satu pertimbangannya adalah ia tidak terintegrasi dengan "KeyChain" tingkat OS (manajemen kata sandi). Anda dapat menggunakan Camino jika Anda ingin browser mozilla / Gecko yang terintegrasi pada level ini.

Ini mungkin pendapat pribadi yang bias.

Saya merasa bahwa mengintegrasikan penyimpanan kata sandi ke dalam sistem apa pun yang menyediakan banyak fitur lain melemahkan keamanan mereka terhadap kerentanan yang mungkin ada dalam sistem itu. Bagian lain dari sistem gabungan membentuk tautan yang lebih lemah dalam rantai keamanan. Ini juga membantu menggunakan sistem non-standar ( baca kesimpulan pada tautan ini ).

Untuk itu, saya lebih suka menyimpannya dalam file terenkripsi TrueCrypt .

Beberapa diskusi lain,

• Lubang Tetap Terbuka di Firefox Password Manager , 20 Juli 2007.
• LastBit FireFox Password Recovery 1.0
  Saya suka bagian tentang, " Harap dicatat bahwa hanya kata sandi yang disimpan yang akan ditampilkan oleh FireFox Password. Jika pengguna telah memasukkan kata sandi tetapi belum menyimpannya, kata sandi tidak akan ditampilkan. "
• Shootout Manajer Kata Sandi - eWallet vs. KeePass vs. LastPass , lebih menyukai LastPass

Saya telah mencoba LastPass dan menurut saya, merupakan kelemahan yang melekat. Yaitu, meskipun memiliki keyboard virtual, ini hanya membuka brankas LastPass Anda. Ini tidak hanya menampilkan situs-situs tempat Anda memiliki kata sandi (ok kata sandinya sendiri 'tersembunyi') tetapi setiap kali Anda ingin masuk ke suatu situs, Anda harus memasukkan kata sandi utama yang tidak ada papan ketik virtual.

Saya menjalankan tes keylogger dan itu akan mencegat kata sandi saya dengan cara ini. Jadi sekarang peretas memiliki akses tidak hanya ke satu situs tetapi ke lemari besi saya yaitu semua login saya. Sekarang Anda dapat menonaktifkan 'memerlukan kata sandi prompt', jadi Anda hanya akan memasukkan kata sandi sekali melalui keyboard virtual dan tidak pada setiap login.

Masalah yang saya miliki dengan ini adalah karena LastPass bekerja di peramban Anda, seorang peretas dapat masuk ke suatu situs tanpa harus mengetahui kata sandi utama Anda karena itu secara efektif terbuka. LastPass perlu menggunakan keyboard virtual yang mirip dengan RoboForm atau Kaspersky Password Manager.

Firefox dan sebagian besar pengelola kata sandi lainnya menderita kesalahan yang sama, entri kata sandi utama dengan cara yang tidak aman.

"Data" apa yang dienkripsi? Hanya kata sandi, atau url juga?

Saya ingin tahu apakah ini bisa dipatahkan dengan menggunakan " boks " seperti "facebook", "youtube", "gmail" ...

EDIT: menurut penulis FirePassword / FireMaster, hanya kata sandi dan login yang dienkripsi :) http://securityxploded.com/firepassword.php

File key3.db berisi informasi terkait kata sandi utama seperti string cek kata sandi terenkripsi, garam, algoritma dan informasi versi dll.

File Signons.txt berisi informasi masuk aktual Tolak daftar Host: Daftar situs web yang penggunanya tidak ingin Firefox mengingat kredensial. Daftar Host Normal: Setiap URL host diikuti oleh nama pengguna dan kata sandi.

Ada pengelola kata sandi online yang bagus yang disebut Clipperz . Ini bagus untuk dapat mengakses kata sandi Anda dari komputer mana pun. Anda juga dapat meng-host perangkat lunak di penyedia hosting Anda sendiri. Ini tidak semudah pengelola kata sandi Firefox karena Anda harus masuk untuk mengakses kata sandi Anda, tetapi karena kemampuan untuk memiliki kata sandi Anda di mana pun ada koneksi internet sangat berguna bagi saya.

Saya sangat merekomendasikan untuk menggunakan LastPass . Pengelola kata sandi Firefox lebih baik daripada tidak sama sekali, tetapi bahkan dengan kata sandi utama, itu tidak terlalu aman.

Jika Anda juga ingin membagikan kata sandi Anda di beberapa browser dan PC, cobalah LastPass] karena mereka benar-benar menemukan cara yang hebat dan aman untuk membagikan kata sandi Anda, sekaligus menjaga keamanannya.

Mereka juga menjelaskan teknologinya secara rinci, sehingga Anda dapat memeriksa bagaimana tepatnya mereka melindungi kata sandi. Satu-satunya "downside": Anda harus menggunakan javascript, karena mereka menggunakannya untuk mengenkripsi dan mendekripsi kata sandi Anda.

Bagi mereka yang bertanya apa yang dienkripsi, kata sandi, atau juga url, url tidak dienkripsi dalam solusi yang disajikan.

Masalahnya dimulai jika browser telah masuk ke situs dengan kotak centang "tetap masuk" yang dipilih pada formulir masuk situs. Sesi tetap terbuka selama berhari-hari, bahkan berminggu-minggu. Jika komputer mewarisi malware, malware itu bisa saja masuk ke dalam situs dan melakukan perbuatan buruknya.

Untuk subjek yang lain, I untuk satu juga punya mis. Kata sandi paypal yang diatur dalam firefox password manager. Sekarang saya hanya menunggu malware untuk mengosongkan akun CC saya. Ini mungkin belum terjadi karena beberapa orang lainnya telah menetapkan kata sandi paypal / amazon di firefox.