Wie sicher ist Firefox Password Manager?

Ich benutze den Firefox-Passwort-Manager seit langer Zeit, habe jedoch nie überprüft, wie sicher er ist.

Der folgende Beitrag fasst es am besten aus dem luxsci.com-Blog zusammen

Wenn Hauptkennwörter verwendet werden, werden die Daten standardmäßig mit 3DES im CBC-Modus verschlüsselt . Wenn Sie ein gutes, sicheres Hauptkennwort wählen, sollte diese Verschlüsselungsstufe in Ordnung sein. 3DES wird bis 2020 als allgemein verwendbar eingestuft .

Sie sollten sich darüber im Klaren sein, dass es Programme gibt, die die gespeicherten Passwörter knacken sollen. Ein solches Programm ist FireMaster . Wenn Sie kein sicheres Hauptkennwort wählen, kann möglicherweise in Ihre verschlüsselte Datenbank eingebrochen werden

Wenn Sie ein Mac OS X-Benutzer sind, ist eine der Überlegungen, dass es nicht in das Betriebssystem "KeyChain" (Kennwortverwaltung) integriert ist. Sie können Camino verwenden, wenn Sie einen Mozilla- / Gecko-Browser benötigen, der auf dieser Ebene integriert ist.

Dies ist wahrscheinlich eine voreingenommene persönliche Meinung.

Ich bin der Meinung, dass die Integration des Kennwortspeichers in jedes System, das viele andere Funktionen bietet, die Sicherheit für die in diesem System möglichen Sicherheitslücken schwächt. Andere Teile des kombinierten Systems bilden die schwächeren Glieder in der Sicherheitskette. Es hilft auch bei der Verwendung eines nicht standardmäßigen Systems ( lesen Sie die Schlussfolgerung zu diesem Link ).

Zu diesem Zweck ziehe ich es vor, sie in einer mit TrueCrypt verschlüsselten Datei zu speichern.

Einige andere Diskussionen,

• Löcher bleiben in Firefox Password Manager geöffnet , 20. Juli 2007.
• LastBit FireFox Password Recovery 1.0
  Ich mag den Teil über " Bitte beachten Sie, dass nur gespeicherte Passwörter von FireFox Password angezeigt werden. Wenn der Benutzer ein Passwort eingegeben, aber nicht gespeichert hat, wird das Passwort nicht angezeigt. "
• Password Manager Shootout - eWallet vs. KeePass vs. LastPass , bevorzugt LastPass

Ich habe LastPass ausprobiert und es hat meiner Meinung nach eine inhärente Schwäche. Das heißt, obwohl es eine virtuelle Tastatur hat, wird hierdurch nur Ihr LastPass-Tresor geöffnet. Dies zeigt nicht nur die Sites an, für die Sie Kennwörter haben (in Ordnung, die Kennwörter selbst sind "versteckt"), sondern Sie müssen jedes Mal, wenn Sie sich bei einer Site anmelden möchten, das Hauptkennwort eingeben, für das es keine virtuelle Tastatur gibt.

Ich habe einen Keylogger-Test durchgeführt, der mein Passwort auf diese Weise abgefangen hätte. Jetzt hat der Hacker also nicht nur Zugriff auf eine Site, sondern auf meinen Tresor, dh auf alle meine Logins. Jetzt können Sie "Passwortabfrage erforderlich" deaktivieren, sodass Sie Ihr Passwort nur einmal über die virtuelle Tastatur eingeben müssen und nicht bei jedem Login.

Das Problem, das ich dabei habe, ist, dass sich ein Hacker, da LastPass in Ihrem Browser ausgeführt wird, bei einer Site anmelden könnte, ohne Ihr Hauptkennwort zu kennen, da es tatsächlich geöffnet ist. LastPass benötigt eine virtuelle Tastatur, die RoboForm oder Kaspersky Password Manager ähnelt.

Firefox und die meisten anderen Passwort-Manager leiden unter einem ähnlichen Fehler, der die Eingabe eines Master-Passworts auf unsichere Weise zur Folge hat.

Welche "Daten" werden verschlüsselt? Nur die Passwörter oder auch die URLs?

Ich frage mich, ob es mit " Krippen " wie "Facebook", "YouTube", "Gmail" gebrochen werden könnte ...

BEARBEITEN: Laut dem Autor von FirePassword / FireMaster werden nur die Passwörter und Anmeldungen verschlüsselt :) http://securityxploded.com/firepassword.php

Die Datei key3.db enthält Informationen zum Hauptkennwort, z. B. eine verschlüsselte Kennwortprüfzeichenfolge, Salt-, Algorithmus- und Versionsinformationen usw.

Die Datei "Signons.txt" enthält die eigentlichen Anmeldeinformationen. Host-Liste ablehnen: Liste der Websites, für die Firefox die Anmeldeinformationen nicht speichern soll. Normale Hostliste: Auf jede Host-URL folgen Benutzername und Passwort.

Es gibt einen großartigen Online-Passwort-Manager namens Clipperz . Es ist großartig, von jedem Computer aus auf Ihre Passwörter zugreifen zu können. Sie können die Software auch auf Ihrem eigenen Hosting-Provider hosten. Dies ist nicht so praktisch wie der Passwort-Manager von Firefox, da Sie sich anmelden müssen, um auf Ihre Passwörter zuzugreifen, aber die Möglichkeit, Ihre Passwörter überall dort zu haben, wo eine Internetverbindung besteht, ist für mich sehr praktisch.

Ich empfehle dringend, stattdessen LastPass zu verwenden. Firefox Password Manager ist besser als nichts, aber selbst mit einem Master-Passwort ist es nicht wirklich sicher.

Wenn Sie Ihre Passwörter auch für mehrere Browser und PCs freigeben möchten, versuchen Sie es mit LastPass], da diese wirklich eine großartige und sichere Möglichkeit gefunden haben, Ihre Passwörter freizugeben, ohne sie zu gefährden.

Außerdem erklären sie ihre Technologie ausführlich, sodass Sie überprüfen können, wie genau sie die Passwörter schützen. Der einzige "Nachteil": Sie müssen Javascript verwenden, da es zum Ver- und Entschlüsseln Ihrer Passwörter verwendet wird.

Für diejenigen, die fragen, was verschlüsselt ist, Passwörter oder auch URLs, werden die URLs in keiner der vorgestellten Lösungen verschlüsselt.

Das Problem tritt auf, wenn der Browser bei einer Site angemeldet ist und das Kontrollkästchen "Angemeldet bleiben" im Site-Anmeldeformular aktiviert ist. Die Sitzung bleibt tagelang, sogar wochenlang geöffnet. Wenn der Computer Malware erbt, kann die Malware einfach in die Site eindringen und schlechte Taten begehen.

Zum anderen habe ich zum einen auch zB paypal Passwort im Firefox Passwort Manager gesetzt. Jetzt warte ich nur noch darauf, dass Malware mein CC-Konto leert. Vermutlich ist dies nicht geschehen, da nur wenige andere Benutzer ihr Paypal / Amazon-Passwort in Firefox festgelegt haben.