web-dev-qa-db-ja.com

Firefoxのパスワード同期はどのように安全ですか?

Firefoxに組み込まれているパスワードマネージャーと同期機能を使用して同期しても安全ですか?彼らは私のパスワードをどこに保存し、どのように保存しますか?リスクは何ですか?

代わりにLastPassを使用する必要がありますか?

6
Chang

同期は、LastPassが廃業することを心配する必要がないという点でより信頼性があります。また、LastPassソフトウェアでの私の経験はあまり良くありません-私はFirefoxの同期がもっと好きです。

パスワードは、同期サーバーに送信する前にブラウザーで暗号化されます。暗号化キー(現在は26桁)を紛失した場合、パスワードを取得することはできません。

あなたの懸念は、Lastpassが10年以内に営業しているかどうか、キーボードやハードドライブを読んでいるコンピューターに悪意のあるソフトウェアを入手したかどうか、そして後でパスワードを安全でないコンピューターに同期するかどうかに行きます。

3
Antti Rytsölä

個人的には、代わりにLastPassを使用します。スマートカード、グリッドシステム、モバイルテキスト、USBキーなどの2要素認証を提供します。また、1回限りのパスワード(パブリックログイン用)も提供します。

また、オフラインモードも提供しています。また、はるかに使いやすく、最もファンキーなログイン画面もサポートしています。

もう1つの便利な機能は、パスワードを共有せずにログインを共有することです。

4
surfasb

あなたは重要な点を提起しています。 IMO、Mozilla IDアカウントの登録に使用されるユーザーパスワードに基づいて暗号化キーの導出とログイントークンの両方を行うというMozillaの選択は、スキーム全体を弱体化させます。同じ情報からこれらのトークンを生成することはおそらく暗号的に安全ですが、元のログインパスワードがユーザーのコンピューターから離れることは決してないという仮定に依存します。ただし、Webベースのログインであるため、ユーザーは気付かずにフィッシング攻撃でパスワードを入力したり、man-in-the-middle攻撃やWebサイトのスクリプトインジェクション攻撃によってパスワードが公開されたりする可能性があります。攻撃者のログインパスワードを持っているということは、同期アカウントに保存されているユーザーのパスワードにアクセスしたり、復号化したりする可能性があることを意味します。したがって、Webログインパスワードをデータ暗号化に使用しないでください。

古いFirefox同期暗号化スキームには、個別のログインキーと暗号化キーがありましたが、PaleMoonなどの一部のFirefoxベースのブラウザでも引き続き使用できます。非常に堅牢な暗号化を備えていましたが、Mozilla開発者は、これはユーザーが2つのパスワードを処理および理解するには複雑すぎると考え、現在のスキームに変更しました。

現在のスキームには説明された欠陥がありますが、理論的には開発者が(オプションの)2番目のトークンを追加して、MozillaログインパスワードにリンクされていないFirefoxの暗号化キーを導出できる高度な設計です。ただし、これを実装する必要があります。

0
fungs