¿Qué tan seguro es el administrador de contraseñas de Firefox?

He estado usando el administrador de contraseñas de Firefox durante mucho tiempo, pero nunca verifiqué / verifiqué qué tan seguro es.

La siguiente publicación lo resume mejor del blog luxsci.com

Cuando las contraseñas maestras están en uso, los datos se cifran utilizando 3DES en modo CBC de forma predeterminada . Si elige una contraseña maestra buena y segura, entonces este nivel de cifrado debería estar bien. 3DES está calificado para uso general hasta 2020 .

Debe tener en cuenta que existen programas diseñados para abrir las contraseñas guardadas. Uno de esos programas es FireMaster . Si no elige una contraseña maestra segura, entonces su base de datos encriptada puede ser susceptible de ser forzada

Si usted es un usuario de Mac OS X, una de las consideraciones es que no está integrado con "KeyChain" (gestión de contraseñas) a nivel del sistema operativo. Puede usar Camino si desea un navegador mozilla / Gecko que esté integrado en este nivel.

Esta es probablemente una opinión personal sesgada.

Siento que integrar el almacenamiento de contraseñas en cualquier sistema que proporcione muchas otras características debilita su seguridad ante las vulnerabilidades posibles en ese sistema. Otras partes del sistema combinado forman los eslabones más débiles de la cadena de seguridad. También ayuda a usar un sistema no estándar ( lea la conclusión en este enlace ).

Para ese fin, prefiero almacenarlos en un archivo cifrado TrueCrypt .

Algunas otras discusiones,

• Los agujeros permanecen abiertos en Firefox Password Manager , 20 de julio de 2007.
• LastBit FireFox Password Recovery 1.0
  Me gusta la parte que dice : " Tenga en cuenta que solo las contraseñas guardadas se mostrarán con FireFox Password. Si el usuario ha ingresado una contraseña pero no la ha guardado, la contraseña no se mostrará " .
• Shootout de Password Manager: eWallet vs. KeePass vs. LastPass , favorece LastPass

He probado LastPass y, en mi opinión, tiene una debilidad inherente. Es decir, que aunque tiene un teclado virtual, esto solo abre su bóveda de LastPass. Esto no solo muestra los sitios para los que tiene contraseñas (bueno, las contraseñas están 'ocultas'), sino que cada vez que desea iniciar sesión en un sitio, debe ingresar la contraseña maestra para la que no hay un teclado virtual.

Ejecuté una prueba de keylogger y habría interceptado mi contraseña de esta manera. Entonces, el hacker tiene acceso no solo a un sitio, sino a mi bóveda, es decir, a todos mis inicios de sesión. Ahora puede deshabilitar 'solicitar contraseña', por lo que solo debe ingresar su contraseña una vez a través del teclado virtual y no en cada inicio de sesión.

El problema que tengo con esto es que LastPass funciona en su navegador, un hacker podría iniciar sesión en un sitio sin tener que conocer su contraseña maestra, ya que está efectivamente abierta. LastPass necesita emplear un teclado virtual similar a RoboForm o Kaspersky Password Manager.

Firefox y la mayoría de los otros administradores de contraseñas sufren una falla similar, la entrada de una contraseña maestra de manera insegura.

¿Qué "datos" están encriptados? ¿Solo las contraseñas o las URL también?

Me pregunto si podría romperse usando " cunas " como "facebook", "youtube", "gmail" ...

EDITAR: según el autor de FirePassword / FireMaster, solo las contraseñas y los inicios de sesión están encriptados :) http://securityxploded.com/firepassword.php

El archivo key3.db contiene información relacionada con la contraseña maestra, como la cadena de verificación de contraseña cifrada, la información de sal, algoritmo y versión, etc.

El archivo Signons.txt contiene la información de inicio de sesión real. Lista de rechazo de host: lista de sitios web para los que el usuario no desea que Firefox recuerde las credenciales. Lista de host normal: a cada URL de host le sigue el nombre de usuario y la contraseña.

Hay un excelente administrador de contraseñas en línea llamado Clipperz . Es excelente para poder acceder a sus contraseñas desde cualquier computadora. También puede alojar el software en su propio proveedor de alojamiento. No es tan conveniente como el administrador de contraseñas de Firefox porque tienes que iniciar sesión para acceder a tus contraseñas, pero la capacidad de tener tus contraseñas donde haya una conexión a Internet es realmente útil para mí.

Recomiendo usar LastPass en su lugar. El administrador de contraseñas de Firefox es mejor que nada, pero incluso con una contraseña maestra, en realidad no es tan seguro.

Si también desea compartir sus contraseñas en varios navegadores y PC, pruebe LastPass], ya que realmente encontraron una manera excelente y segura de compartir sus contraseñas, a la vez que las mantienen a salvo.

También explican su tecnología en detalle, para que pueda verificar cómo están protegiendo exactamente las contraseñas. El único "inconveniente": debe usar JavaScript, ya que lo usan para cifrar y descifrar sus contraseñas.

Para aquellos que preguntan qué está encriptado, contraseñas o también URL, las URL no están encriptadas en ninguna de las soluciones presentadas.

El problema comienza si el navegador ha iniciado sesión en un sitio con la casilla de verificación "permanecer conectado" seleccionada en el formulario de inicio de sesión del sitio. La sesión permanece abierta durante días, incluso semanas. Si la computadora hereda el malware, el malware simplemente puede aparecer en el sitio y hacer sus malas acciones.

Por otro lado, yo también tengo, por ejemplo, la contraseña de PayPal establecida en el administrador de contraseñas de Firefox. Ahora estoy esperando que el malware vacíe mi cuenta CC. Probablemente no ha sucedido, ya que pocos tienen su contraseña de PayPal / Amazon configurada en Firefox.