J'ai examiné différents gestionnaires de mots de passe pour échanger mes mots de passe générés par les utilisateurs, plus ou moins prévisibles, contre des mots de passe sécurisés générés automatiquement. Je suis tombé sur KeePass et FeeFox (pour l'intégration de Firefox), ce qui semble être une bonne combinaison de confiance.
Cependant, cela a conduit à une question: pourquoi ne devrais-je pas faire confiance au gestionnaire de mots de passe intégré et à la fonction de synchronisation? Je fais déjà confiance à Firefox pour tout ce que je fais et ils pourraient quand même voler mes mots de passe, même si je ne les stockais pas dans le gestionnaire de mots de passe. Y a-t-il quelque chose qui va à l'encontre de cela (tant que je génère des mots de passe sûrs et aléatoires pour chaque page et que je crypte la base de données de mots de passe avec un mot de passe sécurisé)?
En outre, une seconde question est apparue: quelle est la fiabilité de Firefox de toute façon? Sur leur page d'informations sur la confidentialité, ils indiquent ce qui suit:
When do we share your information with others?
...
When the law requires it. We follow the law whenever we receive requests about you from a government or related to a lawsuit.
...
Il serait donc possible qu'ils partagent tout ce qu'ils savent sur moi avec des organisations gouvernementales (américaines). Existe-t-il même des navigateurs alternatifs qui ne feraient pas cela?
Je suis d'accord avec RobM.
Il serait donc possible qu'ils partagent tout ce qu'ils savent sur moi avec des organisations gouvernementales (américaines).
Oui, très possible.
Existe-t-il même des navigateurs alternatifs qui ne feraient pas cela?
Le routeur oignon. Il peut y en avoir d'autres. Même Firefox fonctionnera de cette façon si vous utilisez la synchronisation locale et désactivez la protection contre les logiciels malveillants et le phishing. Personnellement, je ne les désactiverais pas.
Je ne pense pas que ce soit un problème avec Firefox. C'est une question gouvernementale. Par exemple, vous pouvez lire rétention de données de télécommunications dans divers pays. L'Electronic Frontier Foundation a une bonne rédaction sur le Stored Communications Act .
Vous devez noter que synchronization
signifie généralement que vos données sont stockées en ligne . Je suis conscient que la synchronisation locale est possible. Cependant, en raison de la formulation, ils stockent probablement vos données en ligne ("dans le cloud") et sont tenus de les remettre aux autorités compétentes s'ils sont contraints.
Permettez-moi de répéter: si, en tant qu'entreprise, vous stockez des informations en ligne sur les utilisateurs/clients, alors dans de nombreux cas, vous pouvez être requis pour les transmettre lorsque contraint par les forces de l'ordre. Si vous stockez des informations pas, vous n'avez pas à remettre ce que vous n'avez pas.
Firefox est stockage des informations si vous le permettez. Il s'agit d'une fonctionnalité très pratique qui a pour effet supplémentaire d'être tenue aux réglementations gouvernementales en matière de données. Si vous me demandez, Firefox est très fiable . Cependant, faites-vous confiance au gouvernement de votre pays?
En raison des métadonnées, qu'elles soient chiffrées ou non, cela peut ne pas être pertinent. Ils peuvent être en mesure de décrypter vos données stockées dans le cloud. Même alors, cela peut ne pas avoir d'importance en raison de certaines lois dans certains pays. Attends quoi?
Par exemple: un utilisateur connecté à X
serveur à Y
heure peut être tout ce dont il a vraiment besoin. Par exemple, vous pourriez être en Chine et finir par visiter un site Web associé au Falun Gong. Pour que Firefox fonctionne en Chine, ils seraient obligés de coopérer avec la loi chinoise.
Ils peuvent stocker vos métadonnées, telles que l'adresse IP à laquelle vous vous êtes connecté avant de vérifier s'il s'agissait d'un site Web malveillant ou non, même si vous êtes derrière un VPN à l'époque, votre précédent le profil était associé à autre adresses IP.
Ceci n'est qu'un exemple approximatif du fonctionnement des métadonnées peut, et n'est pas nécessairement pertinent pour vous. J'espère que cela expliquera la puissance des métadonnées afin que vous puissiez les appliquer à d'autres situations.
Voyons ce que Mozilla a à dire. Comment fonctionne la protection intégrée contre le phishing et les logiciels malveillants? :
"Firefox demandera une double vérification pour s'assurer que le site signalé n'a pas été supprimé de la liste depuis votre dernière mise à jour. Cette demande n'inclut pas l'adresse du site visité , il ne contient que des informations partielles dérivées de l'adresse . "
Ces informations/métadonnées partielles = exposées comme un sympathisant rebelle. L'étoile de la mort est en route.
Si vous n'aimez pas cette idée, ne synchronisez pas en ligne et n'utilisez pas phishing intégré et protection contre les logiciels malveillants . Personnellement, je n'aime pas le concept de synchronisation dans de nombreuses situations. Cependant, j'utiliserai la protection intégrée contre le phishing et les logiciels malveillants car elle permet de minimiser la quantité de travail que je dois faire lors de la navigation sur le Web, et cela me protège!
Mozilla est franc sur ce qu'ils font. Ils ne vous mentent pas.
Ils doivent. Et pourquoi pas? Dans de nombreux cas, il existe de très bonnes raisons de le faire, par exemple pour traquer les criminels. L'obéissance à la loi est une condition essentielle pour faire des affaires dans un pays n'importe lequel. Si vous n'aimez pas les lois d'un pays, vous avez le choix de partir et de ne pas y faire des affaires. Essayez d'enfreindre ces lois et voyez combien de temps vous durerez.
Malheureusement, il y a aussi des cas où les pays n'offrent pas de procès équitables et emprisonneraient rapidement, voire exécuteraient quiconque pris en train de se livrer à des activités interdites, comme des organisations religieuses comme le Falun Gong. Encore une fois, si une entreprise n'aime pas les lois d'un pays, elle peut partir.
Sensibiliser et lutter contre la corruption est une chose, et au-delà de la portée de cette réponse, mais vous ne pouvez pas vous attendre à faire n'importe quel type d'entreprise dans n'importe quel pays, sauf vous respectez leurs lois. Et c'est pourquoi Firefox fournit cette clause de non-responsabilité. Ils vous disent la vérité, même s'ils peuvent vous la cacher.
Si vous me demandez, Firefox est très fiable. Je ne sais pas ce que fait votre gouvernement, ni si Firefox est présent dans votre pays.
Comment fiable? Assez bon pour la plupart des usages et mieux que d'utiliser le même mot de passe partout.
Vos données sont cryptées
Vos données Firefox Sync sont cryptées et la clé de cryptage reste sur les appareils que vous contrôlez. Les serveurs de Mozilla ne voient que les données cryptées et n'ont pas accès à la clé. S'ils ont été piratés ou ont reçu un ordre du gouvernement, seules les données chiffrées sont en danger. Vos données privées resteraient sécurisées - du moins, tant que vous avez utilisé un mot de passe fort. Plus d'informations
Des portes dérobées seraient remarquées
Comme vous le faites remarquer, vous exécutez déjà Firefox sur votre ordinateur. Il peut accéder à tous vos fichiers, au matériel comme les caméras et les microphones, surveiller tout votre trafic Web. Il serait techniquement possible qu'il soit troyen et envoie tranquillement votre historique de navigation à la NSA, ou votre flux de caméra à un cybercriminel. Cependant, si un pirate informatique ou un initié malveillant tentait de détourner le produit, en raison de la base d'utilisateurs massive, il serait rapidement remarqué. Et je comprends que la plupart des gouvernements ne peuvent pas légalement émettre une commande pour que Firefox ouvre une porte dérobée à leur navigateur.
Le principal risque est le malware
La plus grande menace pour vos données est la présence de logiciels malveillants sur votre ordinateur. Cela pourrait provenir de vulnérabilités dans l'un des navigateurs que vous utilisez (y compris Firefox), des plug-ins, des clients de messagerie, des logiciels de bureau - tout ce qui se connecte au réseau ou traite des fichiers à partir de sources non fiables. Le risque de logiciels malveillants est très élevé, ne étude signale que 30% des ordinateurs aux États-Unis sont infectés par des logiciels malveillants.
Pour moi, la fiabilité ne nécessite pas nécessairement une affirmation qu'une organisation ne divulguera jamais vos coordonnées. Cela signifie plutôt que toute réclamation doit être honnête.
En tant qu'entreprise, Firefox peut être contraint par les gouvernements de tous les pays dans lesquels il opère de se conformer à leurs lois. Une organisation qui reconnaît cela et vous explique clairement sa position est beaucoup plus fiable qu'une organisation qui masque des faits comme celui-ci ou des informations sur la façon dont elle stocke et traite vos données en interne.
Toute organisation qui prétendrait fonctionner "en dehors de la loi" en ce qui concerne les exigences légales suivantes concernant la divulgation d'informations à un gouvernement serait également en dehors de toute protection que les gouvernements accordent aux entreprises sur la façon dont ces entreprises traitent vos données ... En supposant que vous croyiez leur "extérieur" la loi "revendication en premier lieu.
La raison pour laquelle vous ne souhaitez peut-être pas faire confiance à Firefox est que vous pouvez bénéficier de la convivialité et de la sécurité de l'utilisation d'un gestionnaire de mots de passe sans faire confiance à Firefox (ou à tout fournisseur de cloud).
Comme le souligne RobM, il existe un risque que Firefox soit contraint de retourner les données que vous lui envoyez. Il existe également un risque que quelqu'un pénètre dans leurs serveurs. Firefox a fait efforts pour sécuriser ces données. Il existe d'autres outils de mot de passe qui intègrent avec Firefox et qui peuvent être utilisés en mode de synchronisation locale. Par exemple, 1Password vous permettra de conserver les données sur les appareils que vous contrôlez ou de sélectionner un autre fournisseur de cloud auquel vous pourriez faire davantage confiance.
Pour répondre à votre première question: la principale raison pour laquelle vous ne voudrez peut-être pas utiliser le gestionnaire de mots de passe intégré pour Firefox, ou un navigateur donné, est davantage liée à l'accessibilité potentielle qu'à la sécurité. En utilisant KeePass avec le complément de navigateur approprié pour accéder à ce KeePass, vous pouvez utiliser un seul coffre-fort KeePass pour stocker tous vos mots de passe et y accéder dans un grand nombre d'applications. Donc, dans ce cas, il s'agit plus d'une fonctionnalité potentiellement ajoutée que du fait que le navigateur n'est pas à jour sur les mesures de sécurité appropriées. J'ai personnellement des besoins qui m'obligent à utiliser 3 navigateurs, tous à des fins différentes.
Passons maintenant à la deuxième question la plus importante. C'est une question difficile avec un grand nombre d'implications difficiles qui deviennent très difficiles à ramener à l'effet potentiel sur l'utilisateur individuel. Cependant, ce que je recommanderais pour mieux comprendre ce problème est la lecture des rapports de transparence pour différents navigateurs. Par exemple, le rapport de transparence Google Chrome peut être trouvé ici: https://www.google.com/transparencyreport/userdatarequests/legalprocess/
Je vais résumer brièvement un peu ce que ces rapports contiennent généralement. Ces rapports contiennent généralement des explications plus spécifiques sur la manière dont l'entreprise répond à une demande, des chiffres sur le nombre de demandes effectuées par pays et le pourcentage de demandes qui ont renvoyé certaines données. En outre, compte tenu des événements récents, ils comportent également des sections traitant spécifiquement des problèmes américains.
Pourquoi ne pas enregistrer le mot de passe dans le navigateur:
Parce que cela facilite la tâche des attaquants. Si le site a un XSS ou une vulnérabilité similaire, ils peuvent voler votre mot de passe.
Vous installez un mauvais plugin/... il peut voler votre mot de passe directement. Il en va de même si un plugin légitime a un trou de sécurité utilisé par un attaquant. L'obtenir à partir d'un processus différent est beaucoup plus d'efforts, voire impossible, sans droits d'administrateur.
Pour votre deuxième question:
Cela équivaudrait essentiellement à stocker votre base de données KeePass sur un stockage en ligne de confiance auquel le gouvernement américain et les autres services peuvent accéder. Je pense que cette question est déjà suffisamment répondue ici et dans d'autres questions: https://security.stackexchange.com/search?q=keepass+cloud
Vous ne devez pas faire confiance au gestionnaire de mots de passe Firefox car le mot de passe principal est sacrément peu pratique à utiliser. Je l'ai essayé, et après quelques jours, chaque fois que je voyais la boîte de mot de passe maître modal ennuyeux à chaque fois que le firefox s'est écrasé ou a été redémarré est devenu douloureux. Je vous garantis que tout utilisateur normal le désactiverait rapidement et vous ne pouvez rien faire pour les empêcher.
De plus, le mot de passe principal N'EXACTE PAS, quelle que soit la durée d'ouverture de Firefox. Si quelqu'un vole votre ordinateur portable pendant son hibernation/sommeil (comme le mien dans le sac), il peut afficher tous vos mots de passe.
Sur Android Firefox, la boîte de mot de passe maître est double douloureuse, car je ne pourrais jamais saisir l'idée quand mon Firefox se ferme et quand il reste en arrière-plan.
À peu près n'importe quel gestionnaire de mots de passe de plugin est plus sûr et utilisable en même temps .