Wie sicher ist der Firefox-Passwortmanager?

21729
Shameem

Ich habe den Firefox-Passwortmanager seit langem verwendet, habe aber nie geprüft, wie sicher er ist.

47
Dies könnte besser auf security.SE gestellt werden. naught101 vor 10 Jahren 0

8 Antworten auf die Frage

26
Vdex

Der folgende Beitrag fasst es am besten aus dem Blog von luxsci.com zusammen

Wenn Master-Passwörter verwendet werden, werden die Daten standardmäßig mit 3DES im CBC-Modus verschlüsselt . Wenn Sie ein gutes, starkes Master-Passwort wählen, sollte diese Verschlüsselungsstufe in Ordnung sein. 3DES ist bis 2020 für den allgemeinen Gebrauch gut geeignet .

Sie sollten wissen, dass es Programme gibt, mit denen die gespeicherten Kennwörter geöffnet werden können. Ein solches Programm ist FireMaster . Wenn Sie kein starkes Hauptkennwort wählen, kann Ihre verschlüsselte Datenbank möglicherweise beschädigt werden

3
benc

Wenn Sie ein Benutzer von Mac OS X sind, ist eine der Überlegungen, dass es nicht in die Betriebssystemebene "KeyChain" (Kennwortverwaltung) integriert ist. Sie können Camino verwenden, wenn Sie einen Mozilla / Gecko-Browser wünschen, der auf dieser Ebene integriert ist.

War nicht genau die Frage. Joey vor 15 Jahren 4
@benc - Sollte oder soll Mozilla Unterstützung dafür hinzufügen? 1.21 gigawatts vor 12 Jahren 1
Sie können das Add-On für [Keychain Services Integration] verwenden (https://addons.mozilla.org/En-us/firefox/addon/keychain-services-integration/). mems vor 11 Jahren 0
2
nik

Dies ist wahrscheinlich eine voreingenommene persönliche Meinung.

Ich bin der Meinung, dass die Integration von Kennwortspeicher in ein System, das viele andere Funktionen bietet, die Sicherheit der Sicherheitsanfälligkeiten in diesem System schwächt. Andere Teile des kombinierten Systems bilden die schwächeren Glieder der Sicherheitskette. Es hilft auch bei der Verwendung eines nicht standardmäßigen Systems ( lesen Sie die Schlussfolgerung unter diesem Link ).

Zu diesem Zweck bevorzuge ich es, sie in einer mit TrueCrypt verschlüsselten Datei zu speichern.

Einige andere Diskussionen,

** Löcher bleiben in Firefox Password Manager geöffnet ** "Sie sollten ihre Passwörter nicht dem Passwortmanager auf Websites anvertrauen, auf denen andere Benutzer ihre eigenen Seiten mit Skripts erstellen können." Antwort: "Es geht nicht um die Sicherheit von Firefox. Es geht um die Sicherheit von Websites, die es Benutzern ermöglichen, Javascript-Code in ihre Websites einzufügen." Schlussfolgerung: ** Der Passwort-Manager ist auf Websites, die von Natur aus unsicher sind, "unsicher". curiousguy vor 12 Jahren 1
@curiousguy: Das gleiche gilt für jeden Passwort-Manager - Passwörter müssen immer in Klartext in jedes Webformular eingegeben werden. Dies ist kein Sicherheitsfehler im Passwortmanager. naught101 vor 10 Jahren 1
2
chris

Ich habe LastPass ausprobiert und es hat meiner Meinung nach eine inhärente Schwäche. Das heißt, obwohl es über eine virtuelle Tastatur verfügt, wird dadurch nur Ihr LastPass-Tresor geöffnet. Dies zeigt nicht nur die Sites an, für die Sie Passwörter haben (ok, die Passwörter selbst sind "verborgen"), sondern Sie müssen jedes Mal, wenn Sie sich bei einer Site anmelden möchten, das Master-Passwort eingeben, für das keine virtuelle Tastatur vorhanden ist.

Ich habe einen Keylogger-Test durchgeführt und hätte mein Passwort auf diese Weise abgefangen. Nun hat der Hacker nicht nur Zugriff auf eine Site, sondern auch auf meinen Tresor, dh alle meine Logins. Jetzt können Sie die Aufforderung zur Kennworteingabe deaktivieren, sodass Sie Ihr Kennwort nur einmal über die virtuelle Tastatur und nicht bei jedem Login eingeben müssen.

Das Problem, das ich damit habe, ist, da LastPass in Ihrem Browser funktioniert. Ein Hacker kann sich bei einer Website anmelden, ohne dass Sie Ihr Master-Kennwort kennen müssen, da es effektiv geöffnet ist. LastPass muss eine virtuelle Tastatur verwenden, die RoboForm oder Kaspersky Password Manager ähnelt.

Firefox und die meisten anderen Passwort-Manager leiden unter einem ähnlichen Fehler, der Eingabe eines Master-Passworts auf unsichere Weise.

0
Manu

Welche "Daten" werden verschlüsselt? Nur die Passwörter oder auch die URLs?

Ich frage mich, ob es mit " Krippen " wie "facebook", "youtube", "gmail" ... kaputt gehen könnte.

BEARBEITEN: laut dem Autor von FirePassword / FireMaster werden nur die Passwörter und Logins verschlüsselt :) http://securityxploded.com/firepassword.php

Die Datei key3.db enthält Informationen zum Hauptkennwort, z. B. verschlüsselte Kennwortprüfzeichenfolge, Salt, Algorithmus und Versionsinformationen usw.

Die Datei "Signons.txt" enthält die eigentlichen Anmeldeinformationen. Liste der Hosts ablehnen: Liste der Websites, für die der Benutzer nicht möchten, dass Firefox die Anmeldeinformationen speichert. Normale Hostliste: Auf jede Host-URL folgen Benutzername und Passwort.

0
Spidey

Es gibt einen großartigen Online-Passwortmanager namens Clipperz . Es ist großartig, um von jedem Computer aus auf Ihre Passwörter zugreifen zu können. Sie können die Software auch auf Ihrem eigenen Hosting-Provider hosten. Es ist nicht so praktisch wie der Passwortmanager von Firefox, da Sie sich anmelden müssen, um auf Ihre Passwörter zuzugreifen. Die Möglichkeit, Ihre Passwörter dort zu haben, wo auch immer eine Internetverbindung besteht, ist für mich sehr praktisch.

0
FrankS

Ich empfehle dringend, LastPass zu verwenden. Firefox Password Manager ist besser als nichts, aber selbst mit einem Master-Passwort ist es nicht wirklich so sicher.

Wenn Sie Ihre Passwörter auch für mehrere Browser und PCs freigeben möchten, probieren Sie LastPass] aus, da sie wirklich eine gute und sichere Möglichkeit gefunden haben, Ihre Passwörter zu teilen und dabei sicher zu sein.

Sie erklären auch ihre Technologie detailliert, sodass Sie überprüfen können, wie genau sie die Kennwörter schützen. Der einzige "Nachteil": Sie müssen Javascript verwenden, da sie Ihre Kennwörter ver- und entschlüsseln.

Erklären Sie bitte, warum Sie gesagt haben, "Firefox-Passwortmanager [...] selbst mit einem Master-Passwort [ist] nicht wirklich so sicher" Josh vor 14 Jahren 6
0
Antti Rytsölä Circles Consult

Für diejenigen, die fragen, was verschlüsselt ist, Kennwörter oder auch URLs, werden die URLs in keiner der präsentierten Lösungen verschlüsselt.

Das Problem tritt auf, wenn der Browser bei einer Site angemeldet ist, auf der das Anmeldeformular der Site das Kontrollkästchen "eingeloggt bleiben" markiert ist. Die Sitzung bleibt Tage, sogar Wochen offen. Wenn der Computer Malware erbt, kann die Malware einfach in die Website eingeblendet werden, um schlechte Taten zu vollbringen.

Zum anderen Thema habe ich zum einen auch zB ein paypal Passwort im Firefox Passwort Manager eingestellt. Jetzt warte ich nur noch auf Malware, um mein CC-Konto zu leeren. Es ist wahrscheinlich nicht der Fall, da nur wenige ihr Passwort für paypal / amazon in Firefox festgelegt haben.