Dans quelle mesure le gestionnaire de mots de passe Firefox est-il sécurisé?

49

J'utilise le gestionnaire de mots de passe Firefox depuis longtemps, mais je n'ai jamais vérifié / vérifié son degré de sécurité.

firefox security password-management Shameem
la source
Cela pourrait être mieux demandé sur security.SE.
naught101

Réponses:

27

Le post suivant résume au mieux le blog de luxsci.com

Lorsque les mots de passe principaux sont utilisés, les données sont cryptées à l'aide de 3DES en mode CBC par défaut . Si vous choisissez un bon mot de passe principal fort, ce niveau de cryptage devrait convenir. 3DES est censé être bon pour une utilisation générale jusqu'en 2020 .

Vous devez savoir qu'il existe des programmes conçus pour ouvrir les mots de passe enregistrés. FireMaster est un de ces programmes . Si vous ne choisissez pas un mot de passe principal fort, votre base de données cryptée est susceptible d’être cassée.

Vdex
la source
Je me demande combien de temps il faudrait pour déchiffrer les mots de passe sauvegardés et combien de temps cela faudrait-il pour déchiffrer les mots de passe sauvegardés avec un puissant maître. Hmm, voyez, cela date de 2009. Je suppose que ça doit être pareil.
Adam
3

Si vous êtes un utilisateur de Mac OS X, l'un des points à prendre en compte est qu'il n'est pas intégré au système d'exploitation "KeyChain" (gestion des mots de passe). Vous pouvez utiliser Camino si vous voulez un navigateur Mozilla / Gecko intégré à ce niveau.

benc
la source
4
Ce n'était pas exactement la question.
Joey
1
@benc - Mozilla devrait-il ou voudrait-il ajouter un support pour cela?
1,21 gigawatts
Vous pouvez utiliser le complément Keychain Services Integration
mems
3

Ceci est probablement une opinion personnelle biaisée.

J’estime que l’intégration du stockage de mots de passe dans tout système offrant de nombreuses autres fonctionnalités affaiblit leur sécurité face aux vulnérabilités possibles de ce système. Les autres parties du système combiné constituent les maillons les plus faibles de la chaîne de sécurité. Il est également utile d’utiliser un système non standard ( lisez la conclusion sur ce lien ).

À cette fin, je préfère les stocker dans un fichier crypté TrueCrypt .

Quelques autres discussions,

nik
la source
2
Les trous restent ouverts dans le gestionnaire de mots de passe de Firefox "ils ne doivent pas confier leurs mots de passe au gestionnaire de mots de passe sur des sites Web permettant à d'autres utilisateurs de créer leurs propres pages contenant des scripts." réponse: "Il ne s'agit pas de la sécurité de Firefox. Il s'agit de la sécurité des sites Web qui permet aux utilisateurs d'insérer du code Javascript sur leurs sites." conclusion: le gestionnaire de mots de passe est "non sécurisé" sur des sites intrinsèquement non sécurisés .
strangeguy
1
@curiousguy: il en va de même pour tout gestionnaire de mot de passe - les mots de passe doivent toujours être entrés dans un formulaire Web en texte brut. Ce n'est pas une faille de sécurité dans le gestionnaire de mots de passe.
naught101
À compter de 2019, Truecrypt est déconseillé avec des vulnérabilités connues (CVE-2015-7358) et succédé par Veracrypt . C’est en fait un bon exemple de ce dont Nik parlait. L'implémentation cryptographique n'est toujours pas connue pour être vulnérable, mais une fonctionnalité du programme lui-même peut être utilisée par un attaquant de niveau utilisateur pour obtenir des privilèges élevés. Les développeurs de Veracrypt ont corrigé ces problèmes et passé avec succès l’audit.
Eikre
2

J'ai essayé LastPass et il a, à mon avis, une faiblesse inhérente. À savoir que bien qu’il ait un clavier virtuel, cela n’ouvre que votre coffre-fort LastPass. Non seulement cela affiche les sites pour lesquels vous avez des mots de passe (ok, les mots de passe eux-mêmes sont «cachés»), mais chaque fois que vous souhaitez vous connecter à un site, vous devez entrer le mot de passe principal pour lequel il n'y a pas de clavier virtuel.

J'ai fait un test de keylogger et il aurait intercepté mon mot de passe de cette façon. Alors maintenant, le pirate a accès non seulement à un site, mais à mon coffre-fort, c'est-à-dire à toutes mes connexions. Désormais, vous pouvez désactiver l'option "Demander un mot de passe" pour ne saisir votre mot de passe qu'une seule fois via le clavier virtuel et non à chaque connexion.

Le problème que j'ai avec ceci est que LastPass fonctionne dans votre navigateur, un pirate informatique pourrait se connecter à un site sans avoir à connaître votre mot de passe principal car il est effectivement ouvert. LastPass doit utiliser un clavier virtuel similaire à RoboForm ou à Kaspersky Password Manager.

Firefox et la plupart des autres gestionnaires de mots de passe souffrent d'une erreur similaire, la saisie d'un mot de passe principal de manière non sécurisée.

chris
la source
0

Quelles "données" sont cryptées? Juste les mots de passe, ou les urls aussi?

Je me demande s'il pourrait être cassé avec des " berceaux " tels que "facebook", "youtube", "gmail" ...

EDIT: selon l'auteur de FirePassword / FireMaster, seuls les mots de passe et les connexions sont cryptés :) http://securityxploded.com/firepassword.php

Le fichier key3.db contient des informations relatives au mot de passe principal, telles que la chaîne de vérification du mot de passe crypté, les informations sur le sel, l'algorithme et la version, etc.

Le fichier Signons.txt contient les informations de connexion réelles. Liste des sites à rejeter: liste des sites Web pour lesquels l'utilisateur ne souhaite pas que Firefox se souvienne des informations d'identification. Liste d'hôtes normale: chaque URL d'hôte est suivie d'un nom d'utilisateur et d'un mot de passe.

Manu
la source
0

Il existe un excellent gestionnaire de mots de passe en ligne appelé Clipperz . C'est formidable de pouvoir accéder à vos mots de passe depuis n'importe quel ordinateur. Vous pouvez également héberger le logiciel sur votre propre fournisseur d'hébergement. Ce n'est pas aussi pratique que le gestionnaire de mots de passe de Firefox, car vous devez vous connecter pour accéder à vos mots de passe, mais il est très pratique pour moi d'avoir ces mots de passe partout où il y a une connexion Internet.

Spidey
la source
0

Je recommande fortement d'utiliser LastPass à la place. Le gestionnaire de mots de passe Firefox est mieux que rien, mais même avec un mot de passe principal, ce n'est pas vraiment sécurisé.

Si vous souhaitez également partager vos mots de passe sur plusieurs navigateurs et PC, essayez LastPass] car ils ont vraiment trouvé un moyen sûr de partager vos mots de passe, tout en les protégeant.

Ils expliquent également leur technologie en détail, afin que vous puissiez vérifier comment exactement ils protègent les mots de passe. Le seul "inconvénient": vous devez utiliser javascript, car ils l'utilisent pour chiffrer et déchiffrer vos mots de passe.

FrankS
la source
6
Veuillez expliquer pourquoi vous avez dit que "le gestionnaire de mots de passe Firefox [...] même avec un mot de passe principal [n'est] pas vraiment sécurisé"
Josh
0

Pour ceux qui demandent ce qui est crypté, mots de passe ou également les URL, les URL ne sont pas cryptées dans aucune des solutions présentées.

Le problème commence si le navigateur a été connecté à un site avec la case "rester connecté" sélectionnée dans le formulaire de connexion du site. La session reste ouverte pendant des jours, voire des semaines. Si l'ordinateur hérite d'un logiciel malveillant, celui-ci peut simplement apparaître sur le site et faire de mauvaises actions.

Pour l’autre sujet, j’ai pour ma part également, par exemple, un mot de passe paypal défini dans le gestionnaire de mots de passe firefox. Maintenant, j'attends que des logiciels malveillants vident mon compte CC. Cela n’est probablement pas arrivé car peu d’autres ont leur mot de passe paypal / amazon défini dans Firefox.

Antti Rytsölä Circles Consult
la source