web-dev-qa-db-fra.com

Dans quelle mesure le gestionnaire de mots de passe Firefox est-il sécurisé?

J'utilise le gestionnaire de mots de passe Firefox depuis longtemps, mais je n'ai jamais vérifié/vérifié son degré de sécurité.

49
Shameem

Le post suivant résume au mieux le blog de luxsci.com

Lorsque les mots de passe principaux sont utilisés, les données sont cryptées avec DES en mode CBC par défaut . Si vous choisissez un bon mot de passe principal fort, ce niveau de cryptage devrait convenir. 3DES est considéré comme bon pour un usage général jusqu'en 202 .

Vous devez savoir qu'il existe des programmes conçus pour ouvrir les mots de passe enregistrés. Un de ces programmes est FireMaster . Si vous ne choisissez pas un mot de passe principal fort, votre base de données cryptée est susceptible d’être cassée.

27
Vdex

Si vous êtes un utilisateur de Mac OS X, l'un des points à prendre en compte est qu'il n'est pas intégré au système d'exploitation "KeyChain" (gestion des mots de passe). Vous pouvez utiliser Camino si vous voulez un navigateur Mozilla/Gecko intégré à ce niveau.

3
benc

Ceci est probablement une opinion personnelle biaisée.

J’estime que l’intégration du stockage de mots de passe dans tout système offrant de nombreuses autres fonctionnalités affaiblit leur sécurité face aux vulnérabilités possibles de ce système. Les autres parties du système combiné constituent les maillons les plus faibles de la chaîne de sécurité. Il est également utile d’utiliser un système non standard ( lire la conclusion sur ce lien ).

À cette fin, je préfère les stocker dans un fichier crypté TrueCrypt .

Quelques autres discussions,

3
nik

J'ai essayé LastPass et il a, à mon avis, une faiblesse inhérente. À savoir que bien qu’il ait un clavier virtuel, cela n’ouvre que votre coffre-fort LastPass. Non seulement cela affiche les sites pour lesquels vous avez des mots de passe (ok, les mots de passe eux-mêmes sont "cachés"), mais chaque fois que vous souhaitez vous connecter à un site, vous devez entrer le mot de passe principal pour lequel il n'y a pas de clavier virtuel.

J'ai fait un test de keylogger et il aurait intercepté mon mot de passe de cette façon. Alors maintenant, le pirate informatique n’a pas accès à un seul site, mais à mon coffre-fort, c’est-à-dire à tous mes identifiants. Vous pouvez maintenant désactiver l'option "Requérir un mot de passe" pour ne saisir votre mot de passe qu'une seule fois via le clavier virtuel et non à chaque connexion.

Le problème que j'ai avec ceci est que LastPass fonctionne dans votre navigateur, un pirate informatique pourrait se connecter à un site sans avoir à connaître votre mot de passe principal car il est effectivement ouvert. LastPass doit utiliser un clavier virtuel similaire à RoboForm ou à Kaspersky Password Manager.

Firefox et la plupart des autres gestionnaires de mots de passe souffrent d'une erreur similaire, la saisie d'un mot de passe principal de manière non sécurisée.

2
chris

Quelles "données" sont cryptées? Juste les mots de passe, ou les urls aussi?

Je me demande s'il pourrait être cassé avec " cribs ", comme "facebook", "youtube", "gmail" ...

EDIT: selon l'auteur de FirePassword/FireMaster, seuls les mots de passe et les connexions sont cryptés :) http://securityxploded.com/firepassword.php

Le fichier key3.db contient des informations relatives au mot de passe principal, telles que la chaîne de vérification du mot de passe crypté, les informations sur le sel, l'algorithme et la version, etc.

Le fichier Signons.txt contient les informations de connexion réelles. Liste des sites à rejeter: liste des sites Web pour lesquels l'utilisateur ne souhaite pas que Firefox se souvienne des informations d'identification. Liste d'hôtes normale: chaque URL d'hôte est suivie d'un nom d'utilisateur et d'un mot de passe.

0
Manu

Il existe un excellent gestionnaire de mots de passe en ligne appelé Clipperz . C'est formidable de pouvoir accéder à vos mots de passe depuis n'importe quel ordinateur. Vous pouvez également héberger le logiciel sur votre propre fournisseur d'hébergement. Ce n'est pas aussi pratique que le gestionnaire de mots de passe de Firefox, car vous devez vous connecter pour accéder à vos mots de passe, mais il est très pratique pour moi d'avoir ces mots de passe partout où il y a une connexion Internet.

0
Spidey

Je recommande fortement d'utiliser LastPass à la place. Le gestionnaire de mots de passe Firefox est mieux que rien, mais même avec un mot de passe principal, ce n'est pas vraiment sécurisé.

Si vous souhaitez également partager vos mots de passe sur plusieurs navigateurs et PC, essayez LastPass] car ils ont vraiment trouvé un moyen sûr de partager vos mots de passe, tout en les protégeant.

Ils expliquent également leur technologie en détail, afin que vous puissiez vérifier comment exactement ils protègent les mots de passe. Le seul "inconvénient": vous devez utiliser javascript, car ils l'utilisent pour chiffrer et déchiffrer vos mots de passe.

0
FrankS

Pour ceux qui demandent ce qui est crypté, mots de passe ou également les URL, les URL ne sont pas cryptées dans aucune des solutions présentées.

Le problème commence si le navigateur a été connecté à un site avec la case "rester connecté" sélectionnée dans le formulaire de connexion du site. La session reste ouverte pendant des jours, voire des semaines. Si l'ordinateur hérite d'un logiciel malveillant, celui-ci peut simplement apparaître sur le site et faire de mauvaises actions.

Pour l’autre sujet, j’ai pour ma part également, par exemple. Mot de passe Paypal défini dans le gestionnaire de mots de passe firefox. Maintenant, j'attends que des logiciels malveillants vident mon compte CC. Cela n’est probablement pas arrivé car peu d’autres ont leur mot de passe Paypal/Amazon défini dans Firefox.