Quão seguro é o gerenciador de senhas do Firefox?

O post a seguir resume melhor o blog luxsci.com

When Master Passwords are in use, the data is encrypted using 3DES in CBC mode by default. If you choose a good, strong master password, then this level of encryption should be fine. 3DES is rated to be good for general use through 2020.

You should be aware that there are programs out there designed to crack open the saved passwords. One such program is FireMaster. If you do not choose a strong Master Password, then your encrypted database may be susceptible to being broken into

Se você é um usuário do Mac OS X, uma das considerações é que ele não está integrado ao "KeyChain" no nível do sistema operacional (gerenciamento de senhas). Você pode usar o Camino se quiser um navegador mozilla / Gecko que esteja integrado nesse nível.

Esta é provavelmente uma opinião pessoal tendenciosa.

Sinto que a integração do armazenamento de senhas em qualquer sistema que forneça muitos outros recursos enfraquece sua segurança para as vulnerabilidades possíveis nesse sistema. Outras partes do sistema combinado formam os elos mais fracos na cadeia de segurança. Também ajuda a usar um sistema não padrão ( leia a conclusão sobre este link ).

Para isso, prefiro armazená-los em um arquivo criptografado TrueCrypt .

Algumas outras discussões,

• Furos permanecem abertos no Firefox Password Manager , julho 20, 2007.
• LastBit FireFox Password Recovery 1.0
  Eu gosto da parte sobre, " Por favor, note que apenas as senhas salvas serão mostradas pela senha do FireFox. Se o usuário digitou uma senha, mas não a salvou, a senha não será mostrada. "
• Tiroteio do Gerenciador de Senhas - eWallet vs. KeePass vs. LastPass , favorece LastPass

Eu tentei o LastPass e, na minha opinião, é uma fraqueza inerente. Ou seja, que embora tenha um teclado virtual, isso só abre o seu cofre LastPass. Isso não só exibe os sites para os quais você tem senhas (ok, as próprias senhas são 'ocultas'), mas cada vez que você deseja fazer login em um site, é necessário digitar a senha mestra para a qual não há teclado virtual.

Eu fiz um teste de keylogger e ele teria interceptado minha senha dessa maneira. Então agora o hacker tem acesso não apenas a um site, mas ao meu cofre, ou seja, todos os meus logins. Agora você pode desabilitar 'solicitar solicitação de senha', para que você só insira sua senha uma vez através do teclado virtual e não em cada login.

O problema que tenho com isso é que o LastPass funciona no seu navegador, um hacker pode entrar em um site sem precisar saber sua senha mestra, pois ela está efetivamente aberta. O LastPass precisa empregar um teclado virtual semelhante ao RoboForm ou ao Kaspersky Password Manager.

O Firefox e a maioria dos outros gerenciadores de senha sofrem de uma falha semelhante, a entrada de uma senha mestra de maneira insegura.

O que "dados" são criptografados? Apenas as senhas ou os URLs também?

Eu estou querendo saber se poderia ser quebrado usando " presépios " como "facebook", " youtube "," gmail "...

EDIT: de acordo com o autor do FirePassword / FireMaster, apenas as senhas e logins são criptografados :) link

The key3.db file contains master password related information such as encrypted password check string, salt, algorithm and version information etc.

Signons.txt file contains the actual sign-on information Reject Host list : List of websites for which user don't want Firefox to remember the credentials. Normal Host List : Each host URL is followed by username and password.

Existe um ótimo gerenciador de senhas on-line chamado Clipperz . É ótimo para poder acessar suas senhas de qualquer computador. Você também pode hospedar o software em seu próprio provedor de hospedagem. Não é tão conveniente quanto o gerenciador de senhas do Firefox, porque você precisa fazer o login para acessar suas senhas, mas a possibilidade de ter suas senhas onde quer que haja uma conexão com a Internet é realmente útil para mim.

É altamente recomendável usar LastPass . O gerenciador de senhas do Firefox é melhor que nada, mas mesmo com uma senha mestra, não é tão seguro assim.

Se você também quiser compartilhar suas senhas em vários navegadores e PCs, experimente o LastPass], pois eles realmente encontraram uma maneira excelente e segura de compartilhar suas senhas, mantendo-as seguras.

Eles também explicam sua tecnologia em detalhes, para que você possa verificar exatamente como eles estão protegendo as senhas. A única "desvantagem": você tem que usar o javascript, como eles usam para criptografar e descriptografar suas senhas.

Para aqueles que perguntam o que é criptografado, senhas ou também URLs, os URLs não são criptografados em nenhuma das soluções apresentadas.

O problema começa se o navegador tiver efetuado login em um site com a caixa de seleção "permanecer conectado" selecionada no formulário de login do site. A sessão permanece aberta por dias, até semanas. Se o computador herdar malware, o malware pode simplesmente aparecer no site e fazer más ações.

Para o outro sujeito, eu também tenho, por exemplo, senha paypal definida no gerenciador de senhas do firefox. Agora estou apenas esperando que o malware esvazie minha conta CC. É provável que isso não tenha acontecido, já que poucas pessoas têm sua senha do paypal / amazon definida no firefox.