Seberapa amankah pengelola kata sandi Firefox?

49

Saya telah menggunakan pengelola kata sandi Firefox untuk waktu yang lama, tetapi tidak pernah memeriksa / memverifikasi seberapa aman itu.

Shameem
sumber
Ini mungkin lebih baik ditanyakan pada security.SE.
naught101

Jawaban:

27

Posting berikut merangkum terbaik dari blog luxsci.com

Ketika Kata Sandi Utama digunakan, data dienkripsi menggunakan 3DES dalam mode CBC secara default . Jika Anda memilih kata sandi master yang bagus dan kuat, maka tingkat enkripsi ini akan baik-baik saja. 3DES dinilai bagus untuk penggunaan umum hingga 2020 .

Anda harus menyadari bahwa ada program di luar sana yang dirancang untuk membuka kembali kata sandi yang disimpan. Salah satu program tersebut adalah FireMaster . Jika Anda tidak memilih Kata Sandi Utama yang kuat, maka basis data terenkripsi Anda mungkin rentan untuk dibobol

Vdex
sumber
Saya bertanya-tanya berapa lama untuk memecahkan kata sandi yang disimpan, dan berapa lama untuk memecahkan kata sandi yang disimpan dengan master pw yang kuat. Hmm, lihat ini dari 2009. Sepertinya itu masih sama.
Adam
3

Jika Anda adalah pengguna Mac OS X, salah satu pertimbangannya adalah ia tidak terintegrasi dengan "KeyChain" tingkat OS (manajemen kata sandi). Anda dapat menggunakan Camino jika Anda ingin browser mozilla / Gecko yang terintegrasi pada level ini.

benc
sumber
4
Bukan pertanyaan yang tepat.
Joey
1
@ benc - Haruskah atau apakah Mozilla ingin menambahkan dukungan untuk ini?
1.21 gigawatt
Anda dapat menggunakan addon Keychain Services Integration
mems
3

Ini mungkin pendapat pribadi yang bias.

Saya merasa bahwa mengintegrasikan penyimpanan kata sandi ke dalam sistem apa pun yang menyediakan banyak fitur lain melemahkan keamanan mereka terhadap kerentanan yang mungkin ada dalam sistem itu. Bagian lain dari sistem gabungan membentuk tautan yang lebih lemah dalam rantai keamanan. Ini juga membantu menggunakan sistem non-standar ( baca kesimpulan pada tautan ini ).

Untuk itu, saya lebih suka menyimpannya dalam file terenkripsi TrueCrypt .

Beberapa diskusi lain,

nik
sumber
2
Lubang Tetap Terbuka di Pengelola Kata Sandi Firefox "mereka seharusnya tidak mempercayakan kata sandi mereka ke pengelola kata sandi di situs web yang memungkinkan pengguna lain membuat halaman mereka sendiri yang berisi skrip." menjawab: "Ini bukan tentang keamanan Firefox. Ini tentang keamanan situs web yang memungkinkan pengguna untuk memasukkan kode Javascript ke situs mereka." kesimpulan: pengelola kata sandi "tidak aman" di situs yang secara inheren tidak aman .
curiousguy
1
@curiousguy: hal yang sama berlaku untuk pengelola kata sandi mana pun - kata sandi harus selalu dimasukkan ke formulir web apa pun dalam teks biasa. Itu bukan kelemahan keamanan dalam pengelola kata sandi.
naught101
Pada 2019, Truecrypt sudah usang dengan kerentanan yang diketahui (CVE-2015-7358) dan digantikan oleh Veracrypt . Ini sebenarnya adalah contoh yang baik dari apa yang dibicarakan Nik. Implementasi kriptografi masih belum diketahui rentan, tetapi fitur program itu sendiri dapat digunakan oleh penyerang tingkat pengguna untuk mendapatkan hak istimewa yang tinggi. Para pengembang Veracrypt telah mengatasi masalah ini dan lulus audit.
Eikre
2

Saya telah mencoba LastPass dan menurut saya, merupakan kelemahan yang melekat. Yaitu, meskipun memiliki keyboard virtual, ini hanya membuka brankas LastPass Anda. Ini tidak hanya menampilkan situs-situs tempat Anda memiliki kata sandi (ok kata sandinya sendiri 'tersembunyi') tetapi setiap kali Anda ingin masuk ke suatu situs, Anda harus memasukkan kata sandi utama yang tidak ada papan ketik virtual.

Saya menjalankan tes keylogger dan itu akan mencegat kata sandi saya dengan cara ini. Jadi sekarang peretas memiliki akses tidak hanya ke satu situs tetapi ke lemari besi saya yaitu semua login saya. Sekarang Anda dapat menonaktifkan 'memerlukan kata sandi prompt', jadi Anda hanya akan memasukkan kata sandi sekali melalui keyboard virtual dan tidak pada setiap login.

Masalah yang saya miliki dengan ini adalah karena LastPass bekerja di peramban Anda, seorang peretas dapat masuk ke suatu situs tanpa harus mengetahui kata sandi utama Anda karena itu secara efektif terbuka. LastPass perlu menggunakan keyboard virtual yang mirip dengan RoboForm atau Kaspersky Password Manager.

Firefox dan sebagian besar pengelola kata sandi lainnya menderita kesalahan yang sama, entri kata sandi utama dengan cara yang tidak aman.

chris
sumber
0

"Data" apa yang dienkripsi? Hanya kata sandi, atau url juga?

Saya ingin tahu apakah ini bisa dipatahkan dengan menggunakan " boks " seperti "facebook", "youtube", "gmail" ...

EDIT: menurut penulis FirePassword / FireMaster, hanya kata sandi dan login yang dienkripsi :) http://securityxploded.com/firepassword.php

File key3.db berisi informasi terkait kata sandi utama seperti string cek kata sandi terenkripsi, garam, algoritma dan informasi versi dll.

File Signons.txt berisi informasi masuk aktual Tolak daftar Host: Daftar situs web yang penggunanya tidak ingin Firefox mengingat kredensial. Daftar Host Normal: Setiap URL host diikuti oleh nama pengguna dan kata sandi.

Manu
sumber
0

Ada pengelola kata sandi online yang bagus yang disebut Clipperz . Ini bagus untuk dapat mengakses kata sandi Anda dari komputer mana pun. Anda juga dapat meng-host perangkat lunak di penyedia hosting Anda sendiri. Ini tidak semudah pengelola kata sandi Firefox karena Anda harus masuk untuk mengakses kata sandi Anda, tetapi karena kemampuan untuk memiliki kata sandi Anda di mana pun ada koneksi internet sangat berguna bagi saya.

Spidey
sumber
0

Saya sangat merekomendasikan untuk menggunakan LastPass . Pengelola kata sandi Firefox lebih baik daripada tidak sama sekali, tetapi bahkan dengan kata sandi utama, itu tidak terlalu aman.

Jika Anda juga ingin membagikan kata sandi Anda di beberapa browser dan PC, cobalah LastPass] karena mereka benar-benar menemukan cara yang hebat dan aman untuk membagikan kata sandi Anda, sekaligus menjaga keamanannya.

Mereka juga menjelaskan teknologinya secara rinci, sehingga Anda dapat memeriksa bagaimana tepatnya mereka melindungi kata sandi. Satu-satunya "downside": Anda harus menggunakan javascript, karena mereka menggunakannya untuk mengenkripsi dan mendekripsi kata sandi Anda.

Frank
sumber
6
Tolong jelaskan mengapa Anda mengatakan "Firefox password manager [...] bahkan dengan kata sandi utama tidak begitu aman"
Josh
0

Bagi mereka yang bertanya apa yang dienkripsi, kata sandi, atau juga url, url tidak dienkripsi dalam solusi yang disajikan.

Masalahnya dimulai jika browser telah masuk ke situs dengan kotak centang "tetap masuk" yang dipilih pada formulir masuk situs. Sesi tetap terbuka selama berhari-hari, bahkan berminggu-minggu. Jika komputer mewarisi malware, malware itu bisa saja masuk ke dalam situs dan melakukan perbuatan buruknya.

Untuk subjek yang lain, I untuk satu juga punya mis. Kata sandi paypal yang diatur dalam firefox password manager. Sekarang saya hanya menunggu malware untuk mengosongkan akun CC saya. Ini mungkin belum terjadi karena beberapa orang lainnya telah menetapkan kata sandi paypal / amazon di firefox.

Konsultasi Lingkaran Antti Rytsölä
sumber