Firefox password manager e Firefox Sync

Question

Firefox password manager e Firefox Sync

#1 da (5 voti)

11

Ho appena effettuato la migrazione da LastPass al valore predefinito Firefox Password Manager e Firefox Sync . Ho qualche dubbio sull'uso di Firefox Password Manager e Firefox Sync . Supponiamo che io non usi una password principale:

può accedere a un componente aggiuntivo di Firefox e leggere le mie password salvate e in qualche modo rubarle da me (quindi la persona / le persone che hanno creato l'addon possono visualizzare le mie password)? (Ad esempio, utilizzo questo addon)
può accedere a un componente aggiuntivo di Firefox e leggere le mie password salvate memorizzate con Firefox Sync e in qualche modo rubarle da me (quindi la persona / le persone che hanno creato l'addon possono visualizzare le mie password)?
è Firefox Sync migliore di LastPass quando si considera la sicurezza? Posso fidarmi dei loro server? Come funziona la sicurezza di Firefox Sync ?
Se non utilizzo una password principale in Firefox Password Manager è vero che il modo solo per qualcuno di rubare le mie password è accedendo al mio filesystem, quindi sia i siti Web che i componenti aggiuntivi non possono visualizzare le mie password senza la mia autorizzazione (fare riferimento a 1. e 2.)?

Grazie

passwords firefox browser-extensions

posta Frank 14.08.2016 - 07:35

fonte

1 risposta

Leggi altre domande sui tag passwords firefox browser-extensions

Come minimizzare il rischio rappresentato dagli "ring-3 exploit" di Intel AMT / ME? Perché Microsoft limita la lunghezza della password? [duplicare]

score 5 · Accepted Answer

Ovviamente, sì. I membri aggiuntivi possono accedere alle password salvate. Tu stesso stai usando un componente aggiuntivo che può salvare, leggere e modificare le password. Non sono davvero sicuro del motivo per cui questo è parte della tua domanda. Indipendentemente da ciò, anche senza questa abilità, gli addon spesso usano l'accesso ai contenuti del sito per fare lo stesso compito legittimo. Non sarebbe difficile anche racimolare il testo dai campi della password.
Sì. Le password sincronizzate non sono diverse dalle altre password salvate. Vengono tutti salvati nello stesso posto e vengono tutti sincronizzati se si attiva l'opzione.
Per quanto posso dire, il modello di sicurezza è quasi lo stesso, se si utilizza una password principale. Si crittografa localmente, quindi chiunque interrompa il server dovrà rompere la password principale per leggere le credenziali di accesso. Senza una password principale, Mozilla continua a crittografare le password utilizzando la password dell'account di sincronizzazione , quindi anche se i dati vengono rubati dai server di Mozilla, le tue password dovrebbero essere sicure, se la tua password di sincronizzazione è strong. Ovviamente se l'interruzione in Mozilla otterrà molto di più informazioni piuttosto che semplici password (ad es. segnalibri sincronizzati, cronologia di navigazione salvata, ecc.) Non credo che qualcuno sia realmente qualificato per confrontare le pratiche di sicurezza tra i due, a meno che non abbiano fatto test di penna con entrambi o qualcosa del genere. Per quanto riguarda la sicurezza degli utenti, ritengo che LastPass supporti l'autenticazione a 2 fattori, in modo che possano ottenere la vittoria in sicurezza, se si utilizza tale funzione. Detto questo ... LastPass ha avuto almeno due violazioni di cui ho sentito parlare, mentre Mozilla non ne ha mai avuto. Quindi ¯ \ _ (ツ) _ / ¯.
In un certo senso, sì, è necessario l'accesso locale. Considerando la crittografia discussa sopra, Mozilla non ha mai i dati della password in forma utilizzabile. Ma l'accesso locale potrebbe essere qualsiasi programma in esecuzione come account utente o qualsiasi componente aggiuntivo di Firefox, come discusso sopra. Con una password principale, Firefox deve essere in esecuzione con la password principale inserita, oppure la password principale deve essere rubata con un keylogger. Senza una password principale le password salvate possono essere lette in qualsiasi momento dai programmi in esecuzione sul dispositivo. Se il disco completo non è crittografato e non lo si cancella / distrugge in modo sicuro quando si elimina il dispositivo, è possibile ottenere le password salvate anche da lì se non si utilizza una password principale. Stessa storia per qualsiasi storage di backup su disco che è possibile utilizzare. Le fonti più comuni di perdite sono le persone che li pubblicano accidentalmente insieme agli altri dati di configurazione di Firefox quando cercano di ottenere supporto o eseguire il backup della loro directory utente o qualcosa del genere. Quindi immagino che la risposta qui dipenda da cosa stai cercando di proteggere.