web-dev-qa-db-fra.com

Firefox Password Manager est-il moins sécurisé que LastPass?

Après avoir installé le gestionnaire de mots de passe LastPass, je reçois une boîte de dialogue de connexion comprenant l'option "Désactiver le gestionnaire de mots de passe Firefox non sécurisé".

(Cette option apparaît tant que Firefox Password Manager est activé, qu'un mot de passe principal soit utilisé ou non.)

LastPass login screen

Firefox est-il moins sécurisé que LastPass pour les mêmes tâches sous le même modèle de menace implicite?

Important: Pour une comparaison de pommes à pommes, cela signifierait comparer LastPass à:

  1. Firefox Password Manager (stockage local)
  2. avec Mot de passe principal (cryptage local/sécurité)
  3. et Firefox Sync (stockage à distance, cryptage/sécurité et synchronisation des appareils)

( pas comparant LastPass à Firefox non synchronisé sans mot de passe principal). Je suppose que le modèle de menace est quelque chose comme l'utilisation quotidienne du navigateur, y compris la saisie de mots de passe pour les opérations bancaires en ligne, etc., et le stockage et le partage des informations de connexion entre les installations du navigateur sur les différentes machines que vous possédez.)

(Ma recherche initiale révèle des plaintes et des vulnérabilités dans les anciennes versions (pré-synchronisation) de Firefox, y compris la confusion sur les composants de connexion qui sont cryptés et ceux qui ne le sont pas, des suggestions que nouvelle synchronisation est - "zero-knowledge" (mais aucune clarification sur ce qui est stocké localement en texte brut), affirme que LastPass utilise JavaScript pour le chiffrement et est donc intrinsèquement peu sûr et, ce qui est plus confus, l'approbation de LastPass de Mozilla.)

23
david.libremone

À mon avis, Lastpass fait référence au gestionnaire de mots de passe de Firefox non sécurisé lorsque l'utilisateur n'utilise pas le mot de passe principal pour Firefox. Ce qui ne sera pas une comparaison de pommes à pommes.

Firefox utilise 3DES pour stocker les mots de passe et dans le cas où le mot de passe principal n'est pas défini, null ("") est utilisé, ce qui n'est pas sûr à coup sûr. Pour en savoir plus sur la façon dont Chrome, IE et Firefox stockent les mots de passe, reportez-vous à ceci excellent article .

Si le mot de passe principal est utilisé (et assez fort), je ne vois pas qu'il sera facile de casser les mots de passe, car il n'y a pas de bogues d'implémentation.

8
Jor-el

La case à cocher dans la capture d'écran fait référence au gestionnaire de mots de passe Firefix sans mot de passe principal, bien qu'il ne soit pas coché et qu'il fonctionne dans les deux cas. Je suppose que la plupart du temps, les gens utilisent le gestionnaire de mots de passe dans Firefox sans mot de passe principal. Ils se connectent à un site, Firefox propose de stocker le mot de passe, ils acceptent, et c'est tout. C'est le cas d'utilisation pour la plupart des gens, mais probablement pas pour les visiteurs de ce site.

Donc, lorsque Lastpass pose cette question, ils simplifient à l'excès, mais je suppose que c'est pour une bonne raison. L'utilisateur "normal" ne sera pas confus et pourra cocher cette case. La suppression des mots de passe du gestionnaire de mots de passe Firefox non protégé est une bonne idée, car vous avez déjà décidé d'utiliser Lastpass.

Comme il est déjà répondu ici, lorsque vous utilisez un mot de passe principal, il est assez sûr. Ensuite, il s'agit de fonctionnalités et de risques, et les deux ont des avantages et des inconvénients. La plupart des fonctionnalités de Lastpass peuvent être ajoutées avec des addons au Firefox Password Manager.

J'ai utilisé les deux, d'abord Firefox, puis Lastpass, puis à nouveau Firefox et maintenant Lastpass ... La raison de choisir finalement Lastpass est parce que j'ai réalisé que je suis devenu bâclé et que toutes ces fonctionnalités en un seul endroit en font une bonne affaire. Si vous ne faites pas entièrement confiance à la fonction de téléchargement, utilisez Keepass pour garder certains mots de passe hors ligne.

1
SPRBRN