Respostas:
A postagem a seguir resume melhor o blog do luxsci.com
Quando as Senhas Mestras estão em uso, os dados são criptografados usando o 3DES no modo CBC por padrão . Se você escolher uma senha mestre boa e forte, esse nível de criptografia deverá estar correto. O 3DES foi classificado como bom para uso geral até 2020 .
Você deve estar ciente de que existem programas projetados para abrir as senhas salvas. Um desses programas é o FireMaster . Se você não escolher uma senha mestra forte, seu banco de dados criptografado poderá ser invadido por
Se você é um usuário do Mac OS X, uma das considerações é que ele não está integrado ao "KeyChain" no nível do sistema operacional (gerenciamento de senhas). Você pode usar o Camino se desejar um navegador mozilla / Gecko que esteja integrado nesse nível.
Esta é provavelmente uma opinião pessoal tendenciosa.
Eu sinto que a integração do armazenamento de senhas em qualquer sistema que forneça muitos outros recursos enfraquece sua segurança às vulnerabilidades possíveis nesse sistema. Outras partes do sistema combinado formam os elos mais fracos da cadeia de segurança. Também ajuda a usar um sistema não padrão ( leia a conclusão neste link ).
Para esse fim, prefiro armazená-los em um arquivo criptografado TrueCrypt .
Algumas outras discussões,
Eu tentei o LastPass e, na minha opinião, tem uma fraqueza inerente. Ou seja, apesar de possuir um teclado virtual, isso apenas abre seu cofre do LastPass. Isso não apenas exibe os sites para os quais você possui senhas (ok, as senhas estão 'ocultas'), mas toda vez que você deseja fazer login em um site, é necessário inserir a senha mestra para a qual não há teclado virtual.
Fiz um teste de keylogger e ele teria interceptado minha senha dessa maneira. Então agora o hacker tem acesso não apenas a um site, mas ao meu cofre, ou seja, a todos os meus logins. Agora você pode desativar 'exigir solicitação de senha', para inserir sua senha apenas uma vez através do teclado virtual e não a cada login.
O problema que tenho com isso é que, como o LastPass funciona no seu navegador, um hacker pode fazer login em um site sem precisar saber sua senha mestra, pois é efetivamente aberta. O LastPass precisa empregar um teclado virtual semelhante ao RoboForm ou Kaspersky Password Manager.
O Firefox e a maioria dos outros gerenciadores de senhas sofrem de uma falha semelhante, a entrada de uma senha mestra de maneira insegura.
Quais "dados" são criptografados? Apenas as senhas ou os URLs também?
Gostaria de saber se poderia ser quebrado usando " presépios " como "facebook", "youtube", "gmail" ...
EDIT: de acordo com o autor do FirePassword / FireMaster, apenas as senhas e logins são criptografados :) http://securityxploded.com/firepassword.php
O arquivo key3.db contém informações relacionadas à senha mestra, como string de verificação de senha criptografada, salt, algoritmo e informações de versão etc.
O arquivo Signons.txt contém as informações reais de logon. Lista de hosts rejeitados: lista de sites para os quais o usuário não deseja que o Firefox se lembre das credenciais. Lista de host normal: cada URL de host é seguida por nome de usuário e senha.
Existe um ótimo gerenciador de senhas on-line chamado Clipperz . É ótimo para poder acessar suas senhas em qualquer computador. Você também pode hospedar o software em seu próprio provedor de hospedagem. Não é tão conveniente quanto o gerenciador de senhas do Firefox, pois você precisa fazer login para acessar suas senhas, mas a capacidade de ter suas senhas sempre que houver uma conexão à Internet é realmente útil para mim.
Eu recomendo usar o LastPass . O gerenciador de senhas do Firefox é melhor que nada, mas mesmo com uma senha mestra, não é realmente tão seguro.
Se você também deseja compartilhar suas senhas em vários navegadores e PCs, experimente o LastPass], pois eles realmente encontraram uma maneira excelente e segura de compartilhar suas senhas, mantendo-as em segurança.
Eles também explicam sua tecnologia em detalhes, para que você possa verificar exatamente como eles estão protegendo as senhas. A única "desvantagem": você precisa usar o javascript, pois eles o criptografam e descriptografam suas senhas.
Para aqueles que perguntam o que é criptografado, senhas ou também URLs, os URLs não são criptografados em nenhuma das soluções apresentadas.
O problema inicia se o navegador estiver conectado a um site com a caixa de seleção "permanecer conectado" selecionada no formulário de login do site. A sessão permanece aberta por dias, até semanas. Se o computador herdar malware, o malware pode simplesmente aparecer no site e fazer suas ações erradas.
Para o outro assunto, eu também tenho, por exemplo, uma senha paypal definida no gerenciador de senhas do firefox. Agora estou aguardando o malware esvaziar minha conta do CC. É provável que isso não tenha acontecido, já que poucos outros têm sua senha do paypal / amazon definida no firefox.