Firefox Password Manager è meno sicuro di LastPass?

19

Dopo aver installato il gestore di password LastPass, mi viene presentata una finestra di dialogo di accesso che include l'opzione "Disabilita Firefox Password Manager non sicuro".

(Questa opzione appare finché Firefox Password Manager è abilitato, indipendentemente dal fatto che venga utilizzata o meno una password principale.)

FirefoxèmenosicurodiLastPassperlestesseattivitàconlostessomodellodiminacciaimplicita?

Importante:perunconfrontomele-mele,vorremmodireconfrontareLastPasscon:

  1. FirefoxPasswordManager(memorialocale)
  2. conPasswordprincipale(crittografia/sicurezzalocale)
  3. eFirefoxSync(archiviazioneremota,crittografia/sicurezzaesincronizzazionedispositivo)

(noncheconfrontaLastPassconFirefoxnonsincronizzatosenzapasswordprincipale).Presumocheilmodellodiminacciasiasimileall'utilizzoquotidianodelbrowser,inclusal'immissionedipasswordperilbankingonline,ecc.El'archiviazioneelacondivisionedellecredenzialidiaccessotrainstallazionidelbrowsersudiversicomputerdituaproprietà.)

(Lamiaricercainizialerivelareclamievulnerabilitànellevecchieversioni(pre-Sync)diFirefox,inclusalaconfusionesuqualicomponentidiaccessosonocrittografatiequalino,suggerimentiche new Sync è " zero-knowledge " (ma nessun chiarimento su ciò che è memorizzato in testo normale localmente), afferma che LastPass utilizza JavaScript per la crittografia ed è quindi intrinsecamente insicuro e, più confusamente, l'approvazione di LastPass da Mozilla.)

    
posta d3vid 23.10.2014 - 15:54
fonte

3 risposte

8

Secondo me, Lastpass si riferisce al gestore di password di Firefox insicuro quando l'utente non utilizza la password principale per Firefox. Quale non sarà il confronto mele-mele.

Firefox usa 3DES per memorizzare le password e, nel caso in cui la password principale non sia impostata, viene utilizzato null (""), il che non è sicuro. Per leggere in dettaglio come Chrome, IE e Firefox memorizzano le password, fai riferimento a questo eccellente articolo .

Se la password principale è usata (e abbastanza strong), allora non vedo che sarà facile decifrare le password, dato che non ci sono bug di implementazione.

    
risposta data 24.11.2014 - 10:44
fonte
1

La casella di controllo nello screenshot si riferisce a Firefix Password Manager senza la Master Password, sebbene non controlli e funzioni in entrambi i casi. Credo che la maggior parte delle volte le persone usano il gestore di password in Firefox senza la password principale. Si collegano a un sito, Firefox offre di memorizzare la password, sono d'accordo, e il gioco è fatto. Questo è il caso d'uso per la maggior parte delle persone, ma probabilmente non per i visitatori di questo sito.

Quindi, quando Lastpass pone questa domanda, semplifica eccessivamente, ma credo a ragione. L'utente "normale" non sarà confuso e può controllare questa casella. Rimuovere le password dal gestore di password di Firefox non protetto è una buona idea, dato che hai già deciso di utilizzare Lastpass.

Come già indicato qui, quando si utilizza una password principale, è abbastanza sicuro. Quindi si tratta di funzionalità e rischi, ed entrambi hanno pro e contro. La maggior parte delle funzionalità di Lastpass può essere aggiunta con addon a Firefox Password Manager.

Ho usato entrambi, prima Firefox, poi Lastpass, poi ancora Firefox e ora Lastpass ... Il motivo per cui scegliere Lastpass alla fine è perché ho capito che sono diventato sciatto e tutte quelle caratteristiche in un unico posto lo rendono un buon affare . Se non ti fidi della funzionalità di caricamento completa, utilizza Keepass per mantenere alcune password offline.

    
risposta data 24.11.2014 - 12:59
fonte
-2

I 2 sono diversi.

Il gestore delle password incluso nel browser di solito memorizza la password sul file system e li protegge utilizzando l'account del sistema operativo. Ad esempio, su Windows, se si desidera visualizzare le password salvate è necessario inserire le credenziali di Windows.

Lastpass memorizza le tue password sul loro server e le crittografa utilizzando la password principale associata al tuo account lastpass.

Diamo un'occhiata ai problemi di ciascun

Gestione password browser : presuppone che l'account del tuo sistema operativo sia sicuro. Se qualcun altro conosce la password dell'account del sistema operativo, può rubare tutta la password nel tuo manager. In chrome, ad esempio, sembra che la tua password sia semplicemente in chiaro sul tuo file system. Quindi, se lasci la sessione aperta e lasci il computer, chiunque può rubarti la password. Un amministratore del sistema operativo può probabilmente farlo anche ...

Ma con Firefox, hai la possibilità di selezionare una password principale per crittografare / decodificare la tua password. Se selezioni questa opzione, le tue password dovrebbero essere sicure anche se qualcun altro accede al tuo computer.

Lastpass : presuppone che tu sia l'unico a conoscere la tua password principale, il che è probabilmente vero. D'altra parte, se qualcuno è in grado di trovare la tua password principale (magari hackerando lastpass), allora avranno accesso a tutte le tue password.

Direi che entrambe le opzioni sono abbastanza buone: firefox con password principale e lastpass.

Informazioni sull'uso di javascript per codificare la tua password.

Direi che è principalmente un trucco di LastPass per farti sentire più sicuro, ma non è un problema in realtà. Una citazione da loro:

All sensitive data is encrypted and decrypted locally before syncing with LastPass. Your key never leaves your device, and is never shared with LastPass. Your data stays accessible only to you.

Affermano che è più sicuro perché lastpass non può nemmeno conoscere la tua password principale poiché non la riceverà mai. Ma in realtà, dal momento che controllano il javascript, fa una grande differenza se criptano / decodificano localmente o sul loro server? In generale no. Potrebbero rimuovere il javascript ogni volta che vogliono ricevere direttamente la master password, se lo desiderano.

Ma torniamo al javascript ... Quando la loro pagina è sicura, un utente malintenzionato non può modificare javascript. Se la sua pagina non era sicura, un utente malintenzionato potrebbe semplicemente registrare tutto ciò che viene digitato e rubare comunque la password principale. L'uso di javascript per crittografare / decifrare è irrilevante qui, devi solo chiederti se la loro pagina è sicura o meno e probabilmente lo è.

Ma affermano che sono stati salvati dall'attacco heartbleed.

However, LastPass is unique in that your data is also encrypted with a key that LastPass servers don’t have access to. Your sensitive data is never transmitted over SSL unencrypted - it’s already encrypted when it is transmitted, with a key LastPass never receives. While this bug is still very serious, it could not expose LastPass customers’ encrypted data due to our extra layers of protection. On the majority of the web, user data is not encrypted before being transmitted over SSL, hence the widespread concern.

Source

    
risposta data 23.10.2014 - 16:55
fonte