Firefox şifre yöneticisi ne kadar güvenli?


Yanıtlar:


27

Aşağıdaki yazı luxsci.com blogundan en iyi şekilde özetliyor

Ana Parolalar kullanımdayken, veriler varsayılan olarak CBC modunda 3DES kullanılarak şifrelenir . İyi, güçlü bir ana şifre seçerseniz, bu şifreleme düzeyinin iyi olması gerekir. 3DES, 2020'ye kadar genel kullanım için iyi olarak derecelendirilmiştir .

Orada kayıtlı şifreleri açmak için tasarlanmış programlar bulunduğunun farkında olmalısınız. Böyle bir program FireMaster'dır . Güçlü bir Ana Parola seçmezseniz, şifrelenmiş veritabanınız kırılmaya karşı hassas olabilir


Kaydedilen şifrelerin kırılmasının ne kadar süreceğini ve kaydedilen şifrelerin güçlü bir master pw ile kırılmasının ne kadar süreceğini merak ediyorum. Hmm, bunun 2009'dan itibaren olduğunu görün. Sanırım hala aynı olmalı.
Adam,

3

Mac OS X kullanıcısıysanız, dikkat edilmesi gereken noktalardan biri, işletim sistemi düzeyinde "KeyChain" (şifre yönetimi) ile entegre olmamasıdır. Bu seviyede bir mozilla / Gecko tarayıcısı istiyorsanız Camino'yu kullanabilirsiniz.


4
Tam olarak soru değildi.
Joey,

1
@benc - Mozilla bunun için destek eklemek mi istiyor yoksa istiyor mu?
1.21 gigawatt,


3

Bu muhtemelen önyargılı bir kişisel görüş.

Parola depolamayı başka birçok özellik sağlayan herhangi bir sisteme entegre etmenin, sistemdeki olası güvenlik açıklarına karşı güvenliklerini zayıfladığını hissediyorum. Kombine sistemin diğer parçaları güvenlik zincirindeki zayıf halkaları oluşturur. Ayrıca standart olmayan bir sistemin kullanılmasına da yardımcı olur ( bu bağlantıdaki sonucu okuyun ).

Bu amaçla, onları TrueCrypt şifreli bir dosyada saklamayı tercih ederim .

Bazı diğer tartışmalar


2
Delikler Firefox Password Manager'da Açılmaya Devam Ediyor "" şifrelerini, diğer kullanıcıların script içeren kendi sayfalarını oluşturmalarına izin veren web sitelerindeki şifre yöneticisine emanet etmemeleri gerekir. " Cevap: "Firefox’un güvenliği ile ilgili değil. Kullanıcıların sitelerine Javascript kodu eklemelerine izin veren web sitelerinin güvenliği ile ilgili." Sonuç: şifre yöneticisi, kendiliğinden güvensiz olan sitelerdeki "güvensiz" dir .
curiousguy

1
@curiousguy: Aynısı herhangi bir şifre yöneticisi için de geçerlidir - şifreler her zaman herhangi bir web formuna düz metin olarak girilmelidir. Bu şifre yöneticisinde bir güvenlik hatası değildir.
naught101

2019 'de, Truecrypt bilinen açıklar (CVE-2015-7358) ile kaldırıldı ve tarafından başarılı Veracrypt . Bu aslında Nik'in neden bahsettiğine dair güzel bir örnek. Şifreleme uygulamasının hala savunmasız olduğu bilinmemektedir, ancak programın bir özelliği, kullanıcı düzeyinde bir saldırgan tarafından daha fazla ayrıcalık elde etmek için kullanılabilir. Veracrypt geliştiricileri bu sorunları giderdi ve denetimden geçti.
Eikre

2

LastPass'i denedim ve bence doğal bir zayıflık var. Yani, sanal bir klavyeye sahip olmasına rağmen, bu yalnızca LastPass kasanızı açar. Bu sadece şifreniz olan siteleri görüntülemekle kalmaz (şifreler kendilerini 'gizlidir'), ancak bir siteye her giriş yapmak istediğinizde, sanal klavyesi olmayan ana şifreyi girmeniz gerekir.

Bir keylogger testi yaptım ve şifremi bu şekilde ele geçirecektim. Artık bilgisayar korsanı sadece bir siteye değil kasamıza, yani tüm girişlerime erişebiliyor. Artık 'şifre istemi gerektir' özelliğini devre dışı bırakabilirsiniz, böylece her oturum açma işleminde şifreyi yalnızca bir kez sanal klavye aracılığıyla girersiniz.

Bununla ilgili problemim, LastPass tarayıcınızda çalıştığı için, bir hacker bir siteye giriş yapıp ana şifrenizi açık bir şekilde bildiğinizden emin olmadan girebilir. LastPass, RoboForm veya Kaspersky Password Manager'a benzer bir sanal klavye kullanmalıdır.

Firefox ve diğer birçok şifre yöneticisi benzer bir hatadan muzdarip bir ana şifreyi giriyor.


0

Hangi "veri" şifrelenir? Sadece şifreler mi, URL'ler de mi?

"Facebook", "youtube", "gmail" gibi " beşikler " kullanılarak kırılıp kırılmadığını merak ediyorum ...

EDIT: FirePassword / FireMaster yazarına göre, sadece şifreler ve girişler şifrelenir :) http://securityxploded.com/firepassword.php

Key3.db dosyası, şifreli şifre kontrol dizesi, tuz, algoritma ve sürüm bilgisi gibi ana şifre ile ilgili bilgileri içerir.

Signons.txt dosyası gerçek oturum açma bilgilerini içerir. Ana Bilgisayar listesini reddet: Kullanıcının Firefox'un kimlik bilgilerini hatırlamasını istemediği web sitelerinin listesi. Normal Ana Bilgisayar Listesi: Her ana bilgisayar URL'sini kullanıcı adı ve şifre izler.


0

Clipperz adında harika bir çevrimiçi şifre yöneticisi var . Şifrelerinize herhangi bir bilgisayardan erişebilmeniz için mükemmeldir. Yazılımı ayrıca kendi barındırma sağlayıcınıza da barındırabilirsiniz. Şifrelerinize erişmek için giriş yapmak zorunda olduğunuza rağmen Firefox'un şifre yöneticisi kadar uygun değil, ancak şifrelerinizi bir internet bağlantısının olduğu her yerde benim için gerçekten kullanabilmek için kullanabilmek için.


0

Bunun yerine LastPass kullanmanızı şiddetle tavsiye ederim . Firefox şifre yöneticisi hiç yoktan iyidir, ancak bir ana şifre ile bile, o kadar güvenli değil.

Ayrıca, şifrelerinizi birden fazla tarayıcı ve bilgisayarda paylaşmak istiyorsanız, LastPass] 'a şifrelerinizi paylaşmak için gerçekten güvenli ve güvenli bir yol bulmaları için bir deneyin.

Ayrıca teknolojilerini ayrıntılı olarak açıklarlar, böylece şifreleri tam olarak nasıl koruduklarını kontrol edebilirsiniz. Sadece "olumsuz": javascript, şifrelerinizi şifrelemek ve şifresini çözmek için kullandıkları için kullanmak zorundasınız.


6
Lütfen neden "Firefox şifre yöneticisi [...] bir ana şifre olsa bile [o kadar güvenli değil" dediğini açıklayın
Josh

0

Neyin şifrelendiğini, şifrelerini veya URL'lerini soranlar için, URL'ler sunulan çözümlerin hiçbirinde şifrelenmez.

Tarayıcı, bir siteye giriş yapmışsa, sitenin giriş formunda "oturumda kalsın" onay kutusu seçildiyse başlar. Seans günlerce, hatta haftalarca açık kalır. Bilgisayar kötü amaçlı yazılımı devralırsa, kötü amaçlı yazılım siteye girebilir ve kötü işler yapabilir.

Diğer konuya göre, örneğin bende firefox şifre yöneticisinde ayarlanmış paypal şifresi var. Şimdi kötü amaçlı yazılımın CC hesabımı boşaltmasını bekliyorum. Firefox'ta bazılarının kendi paypal / amazon şifresini ayarlamış olması muhtemel değildir.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.