Mi affido a Firefox per ricordare le mie password, utilizzando una password principale di oltre 25 caratteri. Quanto è sicuro questo set-up?
Mi affido a Firefox per ricordare le mie password, utilizzando una password principale di oltre 25 caratteri. Quanto è sicuro questo set-up?
In breve: Firefox utilizza il triplo DES in modalità CBC con Master Password.
Maggiori dettagli: il bell'articolo su questo argomento è qui: link e se vuoi ulteriori dettagli, ecco l'articolo di mozillaZine: link . Questo articolo ti offre un confronto dettagliato tra i principali browser.
Si ritiene che sia sicuro archiviare le password in questo modo, tuttavia, non mi fido di alcun software. Forse sembra troppo paranoico, ma non possiamo mai sapere dove si nasconde la vulnerabilità.
Per rispondere "Quanto sono sicure le mie password nelle mani di Firefox utilizzando una password principale?" Se Firefox ha qualche bug sfruttabile, allora non è sicuro, non importa quanta crittografia è racchiusa tra le tue password. Se la domanda fosse iniziata con "Supponendo che Firefox sia il browser più sicuro disponibile in termini di exploit e ignorando eventuali plug-in ...", allora sono d'accordo che la risposta potrebbe essere irrilevante. Se viene utilizzata un'interfaccia di clic che non è suscettibile alla registrazione della sequenza di tasti, le password potrebbero comunque essere sicure anche con un keystroke-logger nel browser. Se esiste un "man-in-the-browser", è possibile intercettare fisicamente una password e, se Mozilla emula le pressioni dei tasti, anche questi verranno intercettati. Se Firefox usa più accesso diretto alla memoria, non mi sorprenderebbe se potesse essere intercettato.
"Man-in-the-browser" non è un rootkit a livello di macchina, ma a livello di applicazione. Il più comune è l'AJAX dannoso che può facilmente ascoltare ogni sequenza di tasti, ovvero AJAX 101. Oppure potrebbe essere codice binario malevolo iniettato in remoto nel browser o in un plug-in.
Per mitigare "man-in-the-browser", usa diversi profili firefox separati per servizi bancari, account di posta elettronica, ClipperZ e altri o semplicemente usa Qubes-OS.
Se esiste un rootkit "man-in-the-machine" o di sistema, tutte le password sono di proprietà, indipendentemente dal fatto che siano archiviate in KeePassX o ClipperZ o Firefox.
La sincronizzazione di Firefox memorizza le tue password e le trasferisce su altri computer sincronizzati, ma non li protegge con la tua password principale.
Quindi, se un utente malintenzionato può aprire il browser e attivare la sincronizzazione, quindi eseguire la sincronizzazione con un profilo sul browser, le password verranno sincronizzate!
Credo che lo strumento per il recupero della password di nirsoft.net possa ignorarlo, ma non l'ho verificato in modo specifico
Leggi altre domande sui tag client-side encryption passwords web-browser known-vulnerabilities