Wie sicher ist der Firefox-Passwortmanager?

Der folgende Beitrag fasst es am besten aus dem Blog von luxsci.com zusammen

Wenn Master-Passwörter verwendet werden, werden die Daten standardmäßig mit 3DES im CBC-Modus verschlüsselt . Wenn Sie ein gutes, starkes Master-Passwort wählen, sollte diese Verschlüsselungsstufe in Ordnung sein. 3DES ist bis 2020 für den allgemeinen Gebrauch gut geeignet .

Sie sollten wissen, dass es Programme gibt, mit denen die gespeicherten Kennwörter geöffnet werden können. Ein solches Programm ist FireMaster . Wenn Sie kein starkes Hauptkennwort wählen, kann Ihre verschlüsselte Datenbank möglicherweise beschädigt werden

Wenn Sie ein Benutzer von Mac OS X sind, ist eine der Überlegungen, dass es nicht in die Betriebssystemebene "KeyChain" (Kennwortverwaltung) integriert ist. Sie können Camino verwenden, wenn Sie einen Mozilla / Gecko-Browser wünschen, der auf dieser Ebene integriert ist.

Dies ist wahrscheinlich eine voreingenommene persönliche Meinung.

Ich bin der Meinung, dass die Integration von Kennwortspeicher in ein System, das viele andere Funktionen bietet, die Sicherheit der Sicherheitsanfälligkeiten in diesem System schwächt. Andere Teile des kombinierten Systems bilden die schwächeren Glieder der Sicherheitskette. Es hilft auch bei der Verwendung eines nicht standardmäßigen Systems ( lesen Sie die Schlussfolgerung unter diesem Link ).

Zu diesem Zweck bevorzuge ich es, sie in einer mit TrueCrypt verschlüsselten Datei zu speichern.

Einige andere Diskussionen,

• Löcher bleiben in Firefox Password Manager, 20. Juli 2007, geöffnet .
• LastBit FireFox Password Recovery 1.0
  Ich mag den Teil über " Bitte beachten Sie, dass nur gespeicherte Passwörter von FireFox Password angezeigt werden. Wenn der Benutzer ein Passwort eingegeben hat, es aber nicht gespeichert hat, wird das Passwort nicht angezeigt. "
• Password Manager Shootout - eWallet vs. KeePass vs. LastPass, bevorzugt LastPass

Ich habe LastPass ausprobiert und es hat meiner Meinung nach eine inhärente Schwäche. Das heißt, obwohl es über eine virtuelle Tastatur verfügt, wird dadurch nur Ihr LastPass-Tresor geöffnet. Dies zeigt nicht nur die Sites an, für die Sie Passwörter haben (ok, die Passwörter selbst sind "verborgen"), sondern Sie müssen jedes Mal, wenn Sie sich bei einer Site anmelden möchten, das Master-Passwort eingeben, für das keine virtuelle Tastatur vorhanden ist.

Ich habe einen Keylogger-Test durchgeführt und hätte mein Passwort auf diese Weise abgefangen. Nun hat der Hacker nicht nur Zugriff auf eine Site, sondern auch auf meinen Tresor, dh alle meine Logins. Jetzt können Sie die Aufforderung zur Kennworteingabe deaktivieren, sodass Sie Ihr Kennwort nur einmal über die virtuelle Tastatur und nicht bei jedem Login eingeben müssen.

Das Problem, das ich damit habe, ist, da LastPass in Ihrem Browser funktioniert. Ein Hacker kann sich bei einer Website anmelden, ohne dass Sie Ihr Master-Kennwort kennen müssen, da es effektiv geöffnet ist. LastPass muss eine virtuelle Tastatur verwenden, die RoboForm oder Kaspersky Password Manager ähnelt.

Firefox und die meisten anderen Passwort-Manager leiden unter einem ähnlichen Fehler, der Eingabe eines Master-Passworts auf unsichere Weise.

Welche "Daten" werden verschlüsselt? Nur die Passwörter oder auch die URLs?

Ich frage mich, ob es mit " Krippen " wie "facebook", "youtube", "gmail" ... kaputt gehen könnte.

BEARBEITEN: laut dem Autor von FirePassword / FireMaster werden nur die Passwörter und Logins verschlüsselt :) http://securityxploded.com/firepassword.php

Die Datei key3.db enthält Informationen zum Hauptkennwort, z. B. verschlüsselte Kennwortprüfzeichenfolge, Salt, Algorithmus und Versionsinformationen usw.

Die Datei "Signons.txt" enthält die eigentlichen Anmeldeinformationen. Liste der Hosts ablehnen: Liste der Websites, für die der Benutzer nicht möchten, dass Firefox die Anmeldeinformationen speichert. Normale Hostliste: Auf jede Host-URL folgen Benutzername und Passwort.

Es gibt einen großartigen Online-Passwortmanager namens Clipperz . Es ist großartig, um von jedem Computer aus auf Ihre Passwörter zugreifen zu können. Sie können die Software auch auf Ihrem eigenen Hosting-Provider hosten. Es ist nicht so praktisch wie der Passwortmanager von Firefox, da Sie sich anmelden müssen, um auf Ihre Passwörter zuzugreifen. Die Möglichkeit, Ihre Passwörter dort zu haben, wo auch immer eine Internetverbindung besteht, ist für mich sehr praktisch.

Ich empfehle dringend, LastPass zu verwenden. Firefox Password Manager ist besser als nichts, aber selbst mit einem Master-Passwort ist es nicht wirklich so sicher.

Wenn Sie Ihre Passwörter auch für mehrere Browser und PCs freigeben möchten, probieren Sie LastPass] aus, da sie wirklich eine gute und sichere Möglichkeit gefunden haben, Ihre Passwörter zu teilen und dabei sicher zu sein.

Sie erklären auch ihre Technologie detailliert, sodass Sie überprüfen können, wie genau sie die Kennwörter schützen. Der einzige "Nachteil": Sie müssen Javascript verwenden, da sie Ihre Kennwörter ver- und entschlüsseln.

Für diejenigen, die fragen, was verschlüsselt ist, Kennwörter oder auch URLs, werden die URLs in keiner der präsentierten Lösungen verschlüsselt.

Das Problem tritt auf, wenn der Browser bei einer Site angemeldet ist, auf der das Anmeldeformular der Site das Kontrollkästchen "eingeloggt bleiben" markiert ist. Die Sitzung bleibt Tage, sogar Wochen offen. Wenn der Computer Malware erbt, kann die Malware einfach in die Website eingeblendet werden, um schlechte Taten zu vollbringen.

Zum anderen Thema habe ich zum einen auch zB ein paypal Passwort im Firefox Passwort Manager eingestellt. Jetzt warte ich nur noch auf Malware, um mein CC-Konto zu leeren. Es ist wahrscheinlich nicht der Fall, da nur wenige ihr Passwort für paypal / amazon in Firefox festgelegt haben.