it-swarm-es.tech

¿Qué tan seguro es el administrador de contraseñas de Firefox?

He estado usando el administrador de contraseñas de Firefox durante mucho tiempo, pero nunca verifiqué/verifiqué qué tan seguro es.

49
Shameem

La siguiente publicación lo resume mejor del blog de luxsci.com

Cuando se usan las contraseñas maestras, los datos se cifran usando DES en modo CBC por defecto . Si elige una contraseña maestra buena y segura, entonces este nivel de cifrado debería estar bien. 3DES está clasificado como bueno para uso general hasta 202 .

Debe tener en cuenta que existen programas diseñados para abrir las contraseñas guardadas. Uno de esos programas es FireMaster . Si no elige una contraseña maestra segura, entonces su base de datos encriptada puede ser susceptible de ser forzada

27
Vdex

Si usted es un usuario de Mac OS X, una de las consideraciones es que no está integrado con "KeyChain" (gestión de contraseñas) a nivel del sistema operativo. Puede usar Camino si desea un navegador mozilla/Gecko que esté integrado en este nivel.

3
benc

Esta es probablemente una opinión personal sesgada.

Siento que integrar el almacenamiento de contraseñas en cualquier sistema que proporcione muchas otras características debilita su seguridad ante las vulnerabilidades posibles en ese sistema. Otras partes del sistema combinado forman los eslabones más débiles en la cadena de seguridad. También ayuda a usar un sistema no estándar ( lea la conclusión en este enlace ).

Para ese fin, prefiero almacenarlos en un archivo cifrado TrueCrypt .

Algunas otras discusiones,

3
nik

He probado LastPass y tiene, en mi opinión, una debilidad inherente. Es decir, que aunque tiene un teclado virtual, esto solo abre su bóveda de LastPass. Esto no solo muestra los sitios para los que tiene contraseñas (está bien, las contraseñas están 'ocultas'), sino que cada vez que desea iniciar sesión en un sitio, debe ingresar la contraseña maestra para la que no hay un teclado virtual.

Ejecuté una prueba de keylogger y habría interceptado mi contraseña de esta manera. Entonces, el hacker tiene acceso no solo a un sitio, sino a mi bóveda, es decir, a todos mis inicios de sesión. Ahora puede deshabilitar 'solicitar solicitud de contraseña', por lo que solo ingresará su contraseña una vez a través del teclado virtual y no en cada inicio de sesión.

El problema que tengo con esto es que LastPass funciona en su navegador, un hacker podría iniciar sesión en un sitio sin tener que conocer su contraseña maestra, ya que está efectivamente abierta. LastPass necesita emplear un teclado virtual similar a RoboForm o Kaspersky Password Manager.

Firefox y la mayoría de los otros administradores de contraseñas sufren una falla similar, la entrada de una contraseña maestra de manera insegura.

2
chris

¿Qué "datos" están encriptados? ¿Solo las contraseñas o las URL también?

Me pregunto si podría romperse usando " cunas " como "facebook", "youtube", "gmail" ...

EDITAR: según el autor de FirePassword/FireMaster, solo las contraseñas y los inicios de sesión están encriptados :) http://securityxploded.com/firepassword.php

El archivo key3.db contiene información relacionada con la contraseña maestra, como la cadena de verificación de contraseña cifrada, la información de sal, algoritmo y versión, etc.

El archivo Signons.txt contiene la información de inicio de sesión real Lista de rechazo de host: lista de sitios web para los que el usuario no desea que Firefox recuerde las credenciales. Lista de hosts normales: a cada URL de host le sigue el nombre de usuario y la contraseña.

0
Manu

Hay un excelente administrador de contraseñas en línea llamado Clipperz . Es excelente para poder acceder a sus contraseñas desde cualquier computadora. También puede alojar el software en su propio proveedor de alojamiento. No es tan conveniente como el administrador de contraseñas de Firefox porque tienes que iniciar sesión para acceder a tus contraseñas, pero la capacidad de tener tus contraseñas donde haya una conexión a Internet es realmente útil para mí.

0
Spidey

Recomiendo usar LastPass en su lugar. El administrador de contraseñas de Firefox es mejor que nada, pero incluso con una contraseña maestra, en realidad no es tan seguro.

Si también desea compartir sus contraseñas en varios navegadores y PC, pruebe LastPass], ya que realmente encontraron una manera excelente y segura de compartir sus contraseñas, mientras las mantiene a salvo.

También explican su tecnología en detalle, para que pueda verificar cómo están protegiendo exactamente las contraseñas. El único "inconveniente": debe usar javascript, ya que lo usan para cifrar y descifrar sus contraseñas.

0
FrankS

Para aquellos que preguntan qué está encriptado, contraseñas o también URL, las URL no están encriptadas en ninguna de las soluciones presentadas.

El problema comienza si el navegador ha iniciado sesión en un sitio con la casilla de verificación "permanecer conectado" seleccionada en el formulario de inicio de sesión del sitio. La sesión permanece abierta durante días, incluso semanas. Si la computadora hereda malware, el malware simplemente puede aparecer en el sitio y hacer sus malas acciones.

Para el otro tema, por mi parte, también tengo p. Contraseña de Paypal establecida en el administrador de contraseñas de firefox. Ahora estoy esperando que el malware vacíe mi cuenta CC. Probablemente no ha sucedido, ya que pocos tienen su contraseña de Paypal/Amazon configurada en Firefox.

0
Antti Rytsölä