Quão seguro é o gerenciador de senhas do Firefox?


Respostas:


27

A postagem a seguir resume melhor o blog do luxsci.com

Quando as Senhas Mestras estão em uso, os dados são criptografados usando o 3DES no modo CBC por padrão . Se você escolher uma senha mestre boa e forte, esse nível de criptografia deverá estar correto. O 3DES foi classificado como bom para uso geral até 2020 .

Você deve estar ciente de que existem programas projetados para abrir as senhas salvas. Um desses programas é o FireMaster . Se você não escolher uma senha mestra forte, seu banco de dados criptografado poderá ser invadido por


Gostaria de saber quanto tempo levaria para decifrar as senhas salvas e quanto tempo levaria para decifrar as senhas salvas com um forte mestre pw. Hmm, veja isso é de 2009. Acho que deve ser o mesmo ainda.
Adam

3

Se você é um usuário do Mac OS X, uma das considerações é que ele não está integrado ao "KeyChain" no nível do sistema operacional (gerenciamento de senhas). Você pode usar o Camino se desejar um navegador mozilla / Gecko que esteja integrado nesse nível.


4
Não era exatamente a pergunta.
9139 Joey

11
@benc - O Mozilla deveria ou deveria querer adicionar suporte para isso?
1,21 gigawatts


3

Esta é provavelmente uma opinião pessoal tendenciosa.

Eu sinto que a integração do armazenamento de senhas em qualquer sistema que forneça muitos outros recursos enfraquece sua segurança às vulnerabilidades possíveis nesse sistema. Outras partes do sistema combinado formam os elos mais fracos da cadeia de segurança. Também ajuda a usar um sistema não padrão ( leia a conclusão neste link ).

Para esse fim, prefiro armazená-los em um arquivo criptografado TrueCrypt .

Algumas outras discussões,


2
Os furos permanecem abertos no Firefox Password Manager "eles não devem confiar suas senhas ao gerenciador de senhas em sites que permitem que outros usuários criem suas próprias páginas contendo scripts". resposta: "Não se trata da segurança do Firefox. Trata-se da segurança de sites que permite aos usuários inserir código Javascript em seus sites". conclusão: o gerenciador de senhas é "inseguro" em sites que são inerentemente inseguros .
110525

11
@curiousguy: o mesmo se aplica a qualquer gerenciador de senhas - as senhas sempre precisam ser inseridas em qualquer formulário da Web em texto sem formatação. Essa não é uma falha de segurança no gerenciador de senhas.
naught101

A partir de 2019, o Truecrypt está obsoleto com vulnerabilidades conhecidas (CVE-2015-7358) e foi bem-sucedido pelo Veracrypt . Este é realmente um bom exemplo do que Nik estava falando. Ainda não se sabe que a implementação criptográfica é vulnerável, mas um recurso do próprio programa pode ser usado por um invasor no nível do usuário para obter privilégios elevados. Os desenvolvedores do Veracrypt corrigiram esses problemas e passaram na auditoria.
Eikre 17/04

2

Eu tentei o LastPass e, na minha opinião, tem uma fraqueza inerente. Ou seja, apesar de possuir um teclado virtual, isso apenas abre seu cofre do LastPass. Isso não apenas exibe os sites para os quais você possui senhas (ok, as senhas estão 'ocultas'), mas toda vez que você deseja fazer login em um site, é necessário inserir a senha mestra para a qual não há teclado virtual.

Fiz um teste de keylogger e ele teria interceptado minha senha dessa maneira. Então agora o hacker tem acesso não apenas a um site, mas ao meu cofre, ou seja, a todos os meus logins. Agora você pode desativar 'exigir solicitação de senha', para inserir sua senha apenas uma vez através do teclado virtual e não a cada login.

O problema que tenho com isso é que, como o LastPass funciona no seu navegador, um hacker pode fazer login em um site sem precisar saber sua senha mestra, pois é efetivamente aberta. O LastPass precisa empregar um teclado virtual semelhante ao RoboForm ou Kaspersky Password Manager.

O Firefox e a maioria dos outros gerenciadores de senhas sofrem de uma falha semelhante, a entrada de uma senha mestra de maneira insegura.


0

Quais "dados" são criptografados? Apenas as senhas ou os URLs também?

Gostaria de saber se poderia ser quebrado usando " presépios " como "facebook", "youtube", "gmail" ...

EDIT: de acordo com o autor do FirePassword / FireMaster, apenas as senhas e logins são criptografados :) http://securityxploded.com/firepassword.php

O arquivo key3.db contém informações relacionadas à senha mestra, como string de verificação de senha criptografada, salt, algoritmo e informações de versão etc.

O arquivo Signons.txt contém as informações reais de logon. Lista de hosts rejeitados: lista de sites para os quais o usuário não deseja que o Firefox se lembre das credenciais. Lista de host normal: cada URL de host é seguida por nome de usuário e senha.


0

Existe um ótimo gerenciador de senhas on-line chamado Clipperz . É ótimo para poder acessar suas senhas em qualquer computador. Você também pode hospedar o software em seu próprio provedor de hospedagem. Não é tão conveniente quanto o gerenciador de senhas do Firefox, pois você precisa fazer login para acessar suas senhas, mas a capacidade de ter suas senhas sempre que houver uma conexão à Internet é realmente útil para mim.


0

Eu recomendo usar o LastPass . O gerenciador de senhas do Firefox é melhor que nada, mas mesmo com uma senha mestra, não é realmente tão seguro.

Se você também deseja compartilhar suas senhas em vários navegadores e PCs, experimente o LastPass], pois eles realmente encontraram uma maneira excelente e segura de compartilhar suas senhas, mantendo-as em segurança.

Eles também explicam sua tecnologia em detalhes, para que você possa verificar exatamente como eles estão protegendo as senhas. A única "desvantagem": você precisa usar o javascript, pois eles o criptografam e descriptografam suas senhas.


6
Por favor, explique por que você disse que "o gerenciador de senhas do [...] Firefox, mesmo com uma senha mestra, [não] é realmente tão seguro" "
Josh

0

Para aqueles que perguntam o que é criptografado, senhas ou também URLs, os URLs não são criptografados em nenhuma das soluções apresentadas.

O problema inicia se o navegador estiver conectado a um site com a caixa de seleção "permanecer conectado" selecionada no formulário de login do site. A sessão permanece aberta por dias, até semanas. Se o computador herdar malware, o malware pode simplesmente aparecer no site e fazer suas ações erradas.

Para o outro assunto, eu também tenho, por exemplo, uma senha paypal definida no gerenciador de senhas do firefox. Agora estou aguardando o malware esvaziar minha conta do CC. É provável que isso não tenha acontecido, já que poucos outros têm sua senha do paypal / amazon definida no firefox.

Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.