Я давно пользуюсь диспетчером паролей Firefox, но никогда не проверял / не проверял, насколько он безопасен.
8 ответов
27
Следующий пост лучше всего подводит итог в блоге luxsci.com
Когда используются мастер-пароли, данные шифруются с использованием 3DES в режиме CBC по умолчанию. Если вы выбираете хороший, надежный мастер-пароль, тогда этот уровень шифрования должен быть в порядке. 3DES рассчитан на общее использование до 2020 года.
Вы должны знать, что существуют программы, разработанные для взлома сохраненных паролей. Одной из таких программ является FireMaster. Если вы не выберете надежный мастер-пароль, ваша зашифрованная база данных может быть взломана
3
Если вы являетесь пользователем Mac OS X, одно из соображений заключается в том, что он не интегрирован с ОС KeyChain (управление паролями). Вы можете использовать Camino, если вам нужен браузер Mozilla /Gecko, интегрированный на этом уровне.
2
Я пробовал LastPass, и у него, по моему мнению, есть слабость. А именно, что хотя у него есть виртуальная клавиатура, это только открывает ваше хранилище LastPass. Это не только отображает сайты, к которым у вас есть пароли (хорошо, сами пароли «скрыты»), но каждый раз, когда вы хотите войти на сайт, вы должны вводить мастер-пароль, для которого нет виртуальной клавиатуры.
Я запустил тест кейлоггера, и он таким образом перехватил бы мой пароль. Так что теперь хакер имеет доступ не только к одному сайту, но и к моему хранилищу, т.е. ко всем моим логинам. Теперь вы можете отключить «запрос пароля», поэтому вводите пароль только один раз с виртуальной клавиатуры, а не при каждом входе в систему.
Проблема, с которой я столкнулся, заключается в том, что LastPass работает в вашем браузере, и хакер может войти на сайт, не зная вашего мастер-пароля, поскольку он эффективно открыт. LastPass должен использовать виртуальную клавиатуру, подобную RoboForm или Kaspersky Password Manager.
Firefox и большинство других менеджеров паролей страдают от аналогичной ошибки: ввод мастер-пароля небезопасным способом.
2
Это, вероятно, предвзятое личное мнение.
Я чувствую, что интеграция хранилища паролей в любую систему, которая предоставляет множество других функций, ослабляет их защиту от возможных уязвимостей в этой системе. Другие части объединенной системы образуют более слабые звенья в цепи безопасности. Также помогает использование нестандартной системы (см. Заключение по этой ссылке).
Для этого я предпочитаю хранить их в зашифрованном файле TrueCrypt .
Некоторые другие обсуждения,
- Отверстия остаются открытыми в Firefox Password Manager, 20 июля 2007 г.
- LastBit FireFox Password Recovery 1.0
Мне нравится часть о:« Обратите внимание, что только сохраненные пароли будут отображаться в FireFox Password.Если пользователь ввел пароль, но не сохранил его, пароль не будет показан. " - Перебор Менеджера паролей - электронный кошелек против KeePass против LastPass, одобряет LastPass
0
Какие "данные" зашифрованы? Только пароли или URL-адреса?
Мне интересно, можно ли его сломать, используя " шпаргалки ", такие как "facebook", "youtube", "gmail" ...
РЕДАКТИРОВАТЬ: по словам автора FirePassword/FireMaster, только пароли и логины зашифрованы :)http://securityxploded.com/firepassword.php
Файл key3.db содержит информацию, связанную с мастер-паролем, такую как зашифрованная строка проверки пароля, соль, алгоритм и информация о версии и т.д.
Файл Signons.txt содержит актуальную информацию о входе в систему. Отклонить список хостов: список веб-сайтов, для которых пользователь не хочет, чтобы Firefox запоминал учетные данные. Обычный список хостов: за каждым URL хоста следуют имя пользователя и пароль.
0
Есть отличный онлайн менеджер паролей под названием Clipperz. Это здорово для возможности получить доступ к вашим паролям с любого компьютера. Вы также можете разместить программное обеспечение у своего хостинг-провайдера. Это не так удобно, как менеджер паролей Firefox, потому что вам нужно войти в систему, чтобы получить доступ к вашим паролям, но для возможности иметь ваши пароли там, где есть подключение к интернету, действительно удобно для меня.
0
Я настоятельно рекомендую вместо этого использовать LastPass . Менеджер паролей Firefox лучше, чем ничего, но даже с мастер-паролем он не так уж и безопасен.
Если вы также хотите поделиться своими паролями между несколькими браузерами и ПК, попробуйте LastPass], поскольку они действительно нашли отличный и безопасный способ поделиться своими паролями, сохраняя при этом их безопасность.
Они также подробно объясняют свою технологию, поэтому вы можете проверить, насколько точно они защищают пароли. Единственный "минус": вы должны использовать javascript, так как они используют его для шифрования и дешифрования ваших паролей.
0
Для тех, кто спрашивает, что зашифровано, пароли или также URL-адреса, URL-адреса не зашифрованы ни в одном из представленных решений.
Проблема начинается, если браузер вошел на сайт с установленным флажком "оставаться в системе" в форме входа на сайт. Сессия остается открытой в течение нескольких дней, даже недель. Если компьютер унаследует вредоносное ПО, вредоносное ПО может просто зайти на сайт и совершить плохие поступки.
К другой теме у меня также есть, например, пароль PayPal, установленный в менеджере паролей Firefox. Сейчас я просто жду, когда вредоносное ПО очистит мою учетную запись CC. Вероятно, этого не произошло, так как немногие другие имеют свой пароль PayPal / Amazon в Firefox.