¿Qué tan seguro es el administrador de contraseñas de Firefox?

49

He estado usando el administrador de contraseñas de Firefox durante mucho tiempo, pero nunca verifiqué / verifiqué qué tan seguro es.

Shameem
fuente
Esto podría preguntarse mejor sobre seguridad.
naught101

Respuestas:

27

La siguiente publicación lo resume mejor del blog luxsci.com

Cuando las contraseñas maestras están en uso, los datos se cifran utilizando 3DES en modo CBC de forma predeterminada . Si elige una contraseña maestra buena y segura, entonces este nivel de cifrado debería estar bien. 3DES está calificado para uso general hasta 2020 .

Debe tener en cuenta que existen programas diseñados para abrir las contraseñas guardadas. Uno de esos programas es FireMaster . Si no elige una contraseña maestra segura, entonces su base de datos encriptada puede ser susceptible de ser forzada

Vdex
fuente
Me pregunto cuánto tiempo tomaría descifrar las contraseñas guardadas, y cuánto tiempo tomaría descifrar las contraseñas guardadas con una contraseña maestra fuerte. Mmm, mira, esto es de 2009. Supongo que debe ser igual.
Adam
3

Si usted es un usuario de Mac OS X, una de las consideraciones es que no está integrado con "KeyChain" (gestión de contraseñas) a nivel del sistema operativo. Puede usar Camino si desea un navegador mozilla / Gecko que esté integrado en este nivel.

benc
fuente
44
No era exactamente la pregunta.
Joey
1
@benc - ¿Debería o querría Mozilla agregar soporte para esto?
1.21 gigavatios
3

Esta es probablemente una opinión personal sesgada.

Siento que integrar el almacenamiento de contraseñas en cualquier sistema que proporcione muchas otras características debilita su seguridad ante las vulnerabilidades posibles en ese sistema. Otras partes del sistema combinado forman los eslabones más débiles de la cadena de seguridad. También ayuda a usar un sistema no estándar ( lea la conclusión en este enlace ).

Para ese fin, prefiero almacenarlos en un archivo cifrado TrueCrypt .

Algunas otras discusiones,

nik
fuente
2
Los agujeros permanecen abiertos en Firefox Password Manager "no deben confiar sus contraseñas al administrador de contraseñas en los sitios web que permiten a otros usuarios crear sus propias páginas que contienen scripts". respuesta: "No se trata de la seguridad de Firefox. Se trata de la seguridad de los sitios web que permite a los usuarios insertar código Javascript en sus sitios". conclusión: el administrador de contraseñas es "inseguro" en sitios que son inherentemente inseguros .
curioso
1
@curiousguy: lo mismo sería cierto para cualquier administrador de contraseñas: las contraseñas siempre deben ingresarse en cualquier formulario web en texto sin formato. Eso no es una falla de seguridad en el administrador de contraseñas.
naught101
A partir de 2019, Truecrypt está en desuso con vulnerabilidades conocidas (CVE-2015-7358) y Veracrypt lo sucedió . Este es realmente un buen ejemplo de lo que Nik estaba hablando. Todavía no se sabe que la implementación criptográfica sea vulnerable, pero un atacante a nivel de usuario puede usar una característica del programa en sí para obtener privilegios elevados. Los desarrolladores de Veracrypt han rectificado estos problemas y han pasado la auditoría.
Eikre
2

He probado LastPass y, en mi opinión, tiene una debilidad inherente. Es decir, que aunque tiene un teclado virtual, esto solo abre su bóveda de LastPass. Esto no solo muestra los sitios para los que tiene contraseñas (bueno, las contraseñas están 'ocultas'), sino que cada vez que desea iniciar sesión en un sitio, debe ingresar la contraseña maestra para la que no hay un teclado virtual.

Ejecuté una prueba de keylogger y habría interceptado mi contraseña de esta manera. Entonces, el hacker tiene acceso no solo a un sitio, sino a mi bóveda, es decir, a todos mis inicios de sesión. Ahora puede deshabilitar 'solicitar contraseña', por lo que solo debe ingresar su contraseña una vez a través del teclado virtual y no en cada inicio de sesión.

El problema que tengo con esto es que LastPass funciona en su navegador, un hacker podría iniciar sesión en un sitio sin tener que conocer su contraseña maestra, ya que está efectivamente abierta. LastPass necesita emplear un teclado virtual similar a RoboForm o Kaspersky Password Manager.

Firefox y la mayoría de los otros administradores de contraseñas sufren una falla similar, la entrada de una contraseña maestra de manera insegura.

Chris
fuente
0

¿Qué "datos" están encriptados? ¿Solo las contraseñas o las URL también?

Me pregunto si podría romperse usando " cunas " como "facebook", "youtube", "gmail" ...

EDITAR: según el autor de FirePassword / FireMaster, solo las contraseñas y los inicios de sesión están encriptados :) http://securityxploded.com/firepassword.php

El archivo key3.db contiene información relacionada con la contraseña maestra, como la cadena de verificación de contraseña cifrada, la información de sal, algoritmo y versión, etc.

El archivo Signons.txt contiene la información de inicio de sesión real. Lista de rechazo de host: lista de sitios web para los que el usuario no desea que Firefox recuerde las credenciales. Lista de host normal: a cada URL de host le sigue el nombre de usuario y la contraseña.

Manu
fuente
0

Hay un excelente administrador de contraseñas en línea llamado Clipperz . Es excelente para poder acceder a sus contraseñas desde cualquier computadora. También puede alojar el software en su propio proveedor de alojamiento. No es tan conveniente como el administrador de contraseñas de Firefox porque tienes que iniciar sesión para acceder a tus contraseñas, pero la capacidad de tener tus contraseñas donde haya una conexión a Internet es realmente útil para mí.

Araña
fuente
0

Recomiendo usar LastPass en su lugar. El administrador de contraseñas de Firefox es mejor que nada, pero incluso con una contraseña maestra, en realidad no es tan seguro.

Si también desea compartir sus contraseñas en varios navegadores y PC, pruebe LastPass], ya que realmente encontraron una manera excelente y segura de compartir sus contraseñas, a la vez que las mantienen a salvo.

También explican su tecnología en detalle, para que pueda verificar cómo están protegiendo exactamente las contraseñas. El único "inconveniente": debe usar JavaScript, ya que lo usan para cifrar y descifrar sus contraseñas.

FrankS
fuente
66
Por favor, explique por qué dijo "el administrador de contraseñas de Firefox [...] incluso con una contraseña maestra [no] es realmente tan seguro"
Josh el
0

Para aquellos que preguntan qué está encriptado, contraseñas o también URL, las URL no están encriptadas en ninguna de las soluciones presentadas.

El problema comienza si el navegador ha iniciado sesión en un sitio con la casilla de verificación "permanecer conectado" seleccionada en el formulario de inicio de sesión del sitio. La sesión permanece abierta durante días, incluso semanas. Si la computadora hereda el malware, el malware simplemente puede aparecer en el sitio y hacer sus malas acciones.

Por otro lado, yo también tengo, por ejemplo, la contraseña de PayPal establecida en el administrador de contraseñas de Firefox. Ahora estoy esperando que el malware vacíe mi cuenta CC. Probablemente no ha sucedido, ya que pocos tienen su contraseña de PayPal / Amazon configurada en Firefox.

Antti Rytsölä Circles Consult
fuente