マスターパスワードを使用してFirefoxの手で私のパスワードはどのくらい安全ですか？

「私のパスワードは安全ですかFirefoxの場合マスターパスワードを使用していますか？」と回答するにはFirefoxに悪用可能なバグがある場合、パスワードにどれだけの暗号化が施されていても安全ではありません。 「Firefoxがエクスプロイトの点で利用可能な最も安全なブラウザであり、プラグインを無視していると仮定して...」という質問で始まっていたら、答えは無関係であることに同意します。キーストロークロギングの影響を受けないクリックインターフェイスが使用されている場合、ブラウザのキーストロークロガーを使用しても、パスワードは安全である可能性があります。 「ブラウザのマン」がいる場合、パスワードの物理的な入力を傍受できます。Mozillaがキー押下をエミュレートすると、これらも傍受されます。 Firefoxがより直接的なメモリアクセスを使用している場合でも、傍受されても驚かないでしょう。

「Man-in-the-browser」はマシンレベルのルートキットではなく、アプリケーションレベルです。最も一般的なのは悪意のあるAJAXこれはすべてのキーストロークを簡単に聞くことができる-つまりAJAX 101です。あるいは、ブラウザまたはプラグイン。

「ブラウザー内での攻撃」を軽減するには、バンキング、メールアカウント、ClipperZなどのためにサイロ化されたいくつかの異なるfirefoxプロファイルを使用するか、Qubes-OSを使用します。

「man-in-the-machine」またはシステムレベルのルートキットがある場合、KeePassX、ClipperZ、Firefoxのいずれに保存されているかに関係なく、すべてのパスワードは所有されます。

Firefoxはかなり弱いハッシュ方式を使用します。SHA-1の1回の反復だけです。これを補うためにより安全なパスワードを使用することができますが、LastPassのようなものが提供するものよりも安全ではありません。

Wladimir Palant（Adblock Plusの作成者）が これについての投稿を2018年3月に投稿 ：

マスターパスワードを定義せずにパスワードを保存することは、プレーンテキストで保存することと同じであることは一般的な知識です。それらは引き続きlogins.jsonファイルで暗号化されますが、暗号化キーは何も保護されずにkey3.dbファイルに保存されます。

ソースコードを調べたところ、ランダムなソルトと実際のマスターパスワードで構成される文字列にSHA-1ハッシュを適用することにより、パスワードを暗号化キーに変換するsftkdb_passwordToKey（）関数が最終的に見つかりました。これまでにWebサイトでログイン機能を設計したことのある人なら誰でも、ここで警告が表示されるでしょう。この記事はそれをうまくまとめています：

約3億2,000万のハッシュのうち、116を除くすべてのSHA-1ハッシュを回復でき、成功率は約99.9999％でした。

ここでの問題は、GPUはSHA-1ハッシュの計算に非常に優れているということです。この記事の数値から判断すると、1つのNvidia GTX 1080グラフィックスカードで85億のSHA-1ハッシュ/秒を計算できます。つまり、毎秒85億のパスワード推測をテストします。また、人間は強力なパスワードを選択するのが非常に苦手です。この記事では、平均的なパスワードは40ビットに過ぎないと推定しており、その推定値は他のいくつかのパスワードよりもすでに高くなっています。 40ビットのパスワードを推測するには、平均239回の推測をテストする必要があります。計算をすれば、パスワードを解読するのに平均してほんの1分しかかかりません。もちろん、より強力なパスワードを選択することもできます。しかし、覚えられるかなり強力なパスワードを見つけることは、非常に困難です。

これには 10年前のバグ があり、2019年8月の時点でまだオープンしています。