Où sont enregistrés mes mots de passe Firefox?

11

Dans une réaction de peur aux récents événements de piratage, j'ai réfléchi à ma stratégie de mot de passe. La question fondamentale est la suivante: mes mots de passe enregistrés dans FireFox sont-ils protégés contre l'accès à distance?

C'est-à-dire où sont-ils conservés, sont-ils conservés en texte clair, existe-t-il des vulnérabilités connues?

J'exécute OS X 10.6 et Windows 7.

windows-7 firefox osx-snow-leopard password-management mbb
la source
TL; DR: (visite) about:profiles -> Root Directory -> Open Directory, puis vérifiez les fichiers mentionnés ici: support.mozilla.org/en-US/kb/… ou ici: kb.mozillazine.org/Profile_folder_-_Firefox
Andrew

Réponses:

10

Firefox conserve vos mots de passe dans votre profil, et dans la plupart / toutes les versions depuis la v2.0, ces données sont cryptées.

Consultez ici: http://kb.mozillazine.org/Profile_folder_-_Firefox pour l'emplacement des fichiers de mot de passe sur Windows (différentes versions), Linux et Mac.

  • key3.db - Base de données de clés
  • signons.txt - Antérieur à 2.0.0.2 - Mots de passe enregistrés chiffrés, nécessite key3.db pour fonctionner
  • signons2.txt - 2.0.0.2 et supérieur - Mots de passe enregistrés chiffrés (et exceptions d'URL où "NEVER SAVE PASSWORD" est sélectionné), nécessite key3.db pour fonctionner
  • signons3.txt - 3.0 et supérieur - Mots de passe enregistrés cryptés (et exceptions d'URL où "NE JAMAIS ENREGISTRER LE MOT DE PASSE" est sélectionné), nécessite key3.db pour fonctionner
  • signons.sqlite - 3.5 et supérieur - Les mots de passe enregistrés cryptés (et les exceptions d'URL où "NE JAMAIS ENREGISTRER LE MOT DE PASSE" est sélectionné), nécessite que key3.db fonctionne.
Ƭᴇcʜιᴇ007
la source
4
Mais quel type de cryptage Firefox utilise-t-il? Je ne trouve aucune page Web de Mozilla qui le clarifie. Ils disent juste «crypté», ce qui n'est pas informatif.
rlandster
5

Depuis l' aide de Firefox - Récupération de données importantes à partir d'un ancien profil :

Vos mots de passe sont stockés dans deux fichiers différents, tous deux obligatoires:

  • key3.db - Ce fichier stocke votre base de données de clés pour vos mots de passe. Pour transférer des mots de passe enregistrés, vous devez copier ce fichier avec le fichier suivant.
  • signons.sqlite - Mots de passe enregistrés.

Ainsi, j'essaierais de rechercher ces deux fichiers sur votre ordinateur et de les vérifier par vous-même ...

studiohack
la source
Je ne lui ferais pas confiance cependant. Mon ami a installé Chrome et il a pu copier ses mots de passe. Si Chrome peut le faire, les virus le peuvent.
beatgammit
Il n'a pas utilisé de cryptage dans ce cas. S'il le faisait, cela ne fonctionnerait pas.
Henno
Si l'OP chiffrait ces fichiers, il serait en sécurité ...
studiohack
1
tjameson suggère que puisque Chrome peut copier les mots de passe, ils ne sont pas sûrs. Ce n'est pas nécessairement le cas. Les mots de passe sont cryptés à l'aide du mot de passe principal. Chrome peut copier les fichiers contenant le mot de passe crypté, et il peut les décrypter s'il a le mot de passe principal. Il sait les déchiffrer car la méthode de chiffrement est publique. C'est la clé (le mot de passe principal) qui protège les choses. La raison pour laquelle Chrome a pu décrypter le fichier est que l'utilisateur a fourni le mot de passe principal.
Wayne Johnston
2

la criminalistique des mots de passe a une vue d'ensemble et des outils de récupération. Ce dernier est une attaque par force brute sur le mot de passe principal (si vous l'avez, ce que vous devriez). La sécurité est aussi bonne que votre mot de passe. Ce lien a plus de détails (même site).

Henno
la source
-1

"... Firefox crypte les mots de passe dont vous lui demandez de se souvenir ..." Source

Mais il est également important de noter que toute personne ayant accès à votre ordinateur peut facilement accéder à tous vos mots de passe mémorisés.

Outils -> Options -> onglet Sécurité -> Mots de passe enregistrés -> Afficher les mots de passe

Cette liste sera remplie de tous vos noms d'utilisateur et mots de passe mémorisés, ainsi que du site vers lequel ils se rendent.

Ryan
la source
2
Mon ami avait un mot de passe principal défini, mais cela ne suffisait pas pour empêcher Chrome de copier les mots de passe. Je ne ferais pas confiance à sa sécurité. Tout virus qui sait comment effectuer des requêtes SQLite peut récupérer des données.
beatgammit
1
Firefox crypte les mots de passe si vous utilisez un mot de passe principal. Voir support.mozilla.com/en-US/kb/… .
Wayne Johnston