Wie sicher ist Firefox Password Manager?

49

Ich benutze den Firefox-Passwort-Manager seit langer Zeit, habe jedoch nie überprüft, wie sicher er ist.

Schande
quelle
Dies könnte besser auf Sicherheit gefragt werden.SE.
Naught101

Antworten:

27

Der folgende Beitrag fasst es am besten aus dem luxsci.com-Blog zusammen

Wenn Hauptkennwörter verwendet werden, werden die Daten standardmäßig mit 3DES im CBC-Modus verschlüsselt . Wenn Sie ein gutes, sicheres Hauptkennwort wählen, sollte diese Verschlüsselungsstufe in Ordnung sein. 3DES wird bis 2020 als allgemein verwendbar eingestuft .

Sie sollten sich darüber im Klaren sein, dass es Programme gibt, die die gespeicherten Passwörter knacken sollen. Ein solches Programm ist FireMaster . Wenn Sie kein sicheres Hauptkennwort wählen, kann möglicherweise in Ihre verschlüsselte Datenbank eingebrochen werden

Vdex
quelle
Ich frage mich, wie lange es dauern würde, die gespeicherten Passwörter zu knacken, und wie lange es dauern würde, die gespeicherten Passwörter mit einem starken Master-Pw zu knacken. Hmm, siehe das ist von 2009. Vermutlich muss es immer noch dasselbe sein.
Adam
3

Wenn Sie ein Mac OS X-Benutzer sind, ist eine der Überlegungen, dass es nicht in das Betriebssystem "KeyChain" (Kennwortverwaltung) integriert ist. Sie können Camino verwenden, wenn Sie einen Mozilla- / Gecko-Browser benötigen, der auf dieser Ebene integriert ist.

benc
quelle
4
War nicht genau die Frage.
Joey
1
@benc - Sollte oder würde Mozilla dies unterstützen wollen?
1,21 Gigawatt
3

Dies ist wahrscheinlich eine voreingenommene persönliche Meinung.

Ich bin der Meinung, dass die Integration des Kennwortspeichers in jedes System, das viele andere Funktionen bietet, die Sicherheit für die in diesem System möglichen Sicherheitslücken schwächt. Andere Teile des kombinierten Systems bilden die schwächeren Glieder in der Sicherheitskette. Es hilft auch bei der Verwendung eines nicht standardmäßigen Systems ( lesen Sie die Schlussfolgerung zu diesem Link ).

Zu diesem Zweck ziehe ich es vor, sie in einer mit TrueCrypt verschlüsselten Datei zu speichern.

Einige andere Diskussionen,

nik
quelle
2
In Firefox Password Manager bleiben Lücken offen "Sie sollten ihre Passwörter nicht dem Passwort-Manager auf Websites anvertrauen, auf denen andere Benutzer ihre eigenen Seiten mit Skripten erstellen können." Antwort: "Es geht nicht um die Sicherheit von Firefox. Es geht um die Sicherheit von Websites, mit denen Benutzer Javascript-Code in ihre Websites einfügen können." schlussfolgerung: der kennwortmanager ist auf seiten, die von natur aus unsicher sind, "unsicher" .
neugierig
1
@curiousguy: Das Gleiche gilt für jeden Passwort-Manager - Passwörter müssen immer im Klartext in jedes Webformular eingegeben werden. Dies ist keine Sicherheitslücke im Passwort-Manager.
Naught101
Ab 2019 wird Truecrypt mit bekannten Sicherheitslücken (CVE-2015-7358) nicht mehr weiterentwickelt und von Veracrypt abgelöst . Dies ist eigentlich ein gutes Beispiel dafür, wovon Nik sprach. Es ist immer noch nicht bekannt, dass die kryptografische Implementierung anfällig ist. Eine Funktion des Programms selbst kann jedoch von einem Angreifer auf Benutzerebene verwendet werden, um erhöhte Berechtigungen zu erlangen. Die Veracrypt-Entwickler haben diese Probleme behoben und die Prüfung bestanden.
Eikre,
2

Ich habe LastPass ausprobiert und es hat meiner Meinung nach eine inhärente Schwäche. Das heißt, obwohl es eine virtuelle Tastatur hat, wird hierdurch nur Ihr LastPass-Tresor geöffnet. Dies zeigt nicht nur die Sites an, für die Sie Kennwörter haben (in Ordnung, die Kennwörter selbst sind "versteckt"), sondern Sie müssen jedes Mal, wenn Sie sich bei einer Site anmelden möchten, das Hauptkennwort eingeben, für das es keine virtuelle Tastatur gibt.

Ich habe einen Keylogger-Test durchgeführt, der mein Passwort auf diese Weise abgefangen hätte. Jetzt hat der Hacker also nicht nur Zugriff auf eine Site, sondern auf meinen Tresor, dh auf alle meine Logins. Jetzt können Sie "Passwortabfrage erforderlich" deaktivieren, sodass Sie Ihr Passwort nur einmal über die virtuelle Tastatur eingeben müssen und nicht bei jedem Login.

Das Problem, das ich dabei habe, ist, dass sich ein Hacker, da LastPass in Ihrem Browser ausgeführt wird, bei einer Site anmelden könnte, ohne Ihr Hauptkennwort zu kennen, da es tatsächlich geöffnet ist. LastPass benötigt eine virtuelle Tastatur, die RoboForm oder Kaspersky Password Manager ähnelt.

Firefox und die meisten anderen Passwort-Manager leiden unter einem ähnlichen Fehler, der die Eingabe eines Master-Passworts auf unsichere Weise zur Folge hat.

chris
quelle
0

Welche "Daten" werden verschlüsselt? Nur die Passwörter oder auch die URLs?

Ich frage mich, ob es mit " Krippen " wie "Facebook", "YouTube", "Gmail" gebrochen werden könnte ...

BEARBEITEN: Laut dem Autor von FirePassword / FireMaster werden nur die Passwörter und Anmeldungen verschlüsselt :) http://securityxploded.com/firepassword.php

Die Datei key3.db enthält Informationen zum Hauptkennwort, z. B. eine verschlüsselte Kennwortprüfzeichenfolge, Salt-, Algorithmus- und Versionsinformationen usw.

Die Datei "Signons.txt" enthält die eigentlichen Anmeldeinformationen. Host-Liste ablehnen: Liste der Websites, für die Firefox die Anmeldeinformationen nicht speichern soll. Normale Hostliste: Auf jede Host-URL folgen Benutzername und Passwort.

Manu
quelle
0

Es gibt einen großartigen Online-Passwort-Manager namens Clipperz . Es ist großartig, von jedem Computer aus auf Ihre Passwörter zugreifen zu können. Sie können die Software auch auf Ihrem eigenen Hosting-Provider hosten. Dies ist nicht so praktisch wie der Passwort-Manager von Firefox, da Sie sich anmelden müssen, um auf Ihre Passwörter zuzugreifen, aber die Möglichkeit, Ihre Passwörter überall dort zu haben, wo eine Internetverbindung besteht, ist für mich sehr praktisch.

Spidey
quelle
0

Ich empfehle dringend, stattdessen LastPass zu verwenden. Firefox Password Manager ist besser als nichts, aber selbst mit einem Master-Passwort ist es nicht wirklich sicher.

Wenn Sie Ihre Passwörter auch für mehrere Browser und PCs freigeben möchten, versuchen Sie es mit LastPass], da diese wirklich eine großartige und sichere Möglichkeit gefunden haben, Ihre Passwörter freizugeben, ohne sie zu gefährden.

Außerdem erklären sie ihre Technologie ausführlich, sodass Sie überprüfen können, wie genau sie die Passwörter schützen. Der einzige "Nachteil": Sie müssen Javascript verwenden, da es zum Ver- und Entschlüsseln Ihrer Passwörter verwendet wird.

Franks
quelle
6
Bitte erklären Sie, warum Sie sagten "Firefox-Passwort-Manager [...] auch mit einem Master-Passwort [...] ist nicht wirklich so sicher"
Josh
0

Für diejenigen, die fragen, was verschlüsselt ist, Passwörter oder auch URLs, werden die URLs in keiner der vorgestellten Lösungen verschlüsselt.

Das Problem tritt auf, wenn der Browser bei einer Site angemeldet ist und das Kontrollkästchen "Angemeldet bleiben" im Site-Anmeldeformular aktiviert ist. Die Sitzung bleibt tagelang, sogar wochenlang geöffnet. Wenn der Computer Malware erbt, kann die Malware einfach in die Site eindringen und schlechte Taten begehen.

Zum anderen habe ich zum einen auch zB paypal Passwort im Firefox Passwort Manager gesetzt. Jetzt warte ich nur noch darauf, dass Malware mein CC-Konto leert. Vermutlich ist dies nicht geschehen, da nur wenige andere Benutzer ihr Paypal / Amazon-Passwort in Firefox festgelegt haben.

Antti Rytsölä Circles Consult
quelle