次の投稿は luxsci.comブログ から最もよく要約されています。
マスターパスワードが使用されている場合、データは デフォルトでCBCモードの3DES を使用して暗号化されます。優れた強力なマスターパスワードを選択した場合、このレベルの暗号化で問題ありません。 3DESは一般的な使用に適していると評価されています 2020年まで 。
保存されたパスワードを解読するように設計されたプログラムが世の中にあることに注意してください。そのようなプログラムの1つは FireMaster です。強力なマスターパスワードを選択しない場合、暗号化されたデータベースが侵入される可能性があります
Mac OS Xユーザーの場合、考慮事項の1つは、OSレベルの「キーチェーン」(パスワード管理)と統合されていないことです。このレベルで統合されたmozilla/Geckoブラウザーが必要な場合は、Caminoを使用できます。
これはおそらく偏った個人的な意見です。
他の多くの機能を提供するシステムにパスワードストレージを統合すると、そのシステムで起こり得る脆弱性に対するセキュリティが弱まると思います。結合されたシステムの他の部分は、セキュリティチェーンの弱いリンクを形成します。また、非標準システムの使用にも役立ちます( このリンクの結論を読んでください )。
そのため、私はそれらを TrueCrypt 暗号化ファイルに保存することを好みます。
他のいくつかの議論、
- ホールはFirefoxパスワードマネージャで開いたままです 、2007年7月20日。
- LastBit FireFox Password Recovery 1.0
この部分が好きです、「保存されたパスワードのみがFireFoxパスワードで表示されます。ユーザーがパスワードを入力したが保存していない場合、パスワードは表示されません。 。」 - Password Manager Shootout – eWallet vs. KeePass vs. LastPass 、有利 LastPass
私はLastPassを試しましたが、私の意見では、固有の弱点があります。つまり、仮想キーボードはありますが、LastPass金庫を開くだけです。これは、パスワードを持っているサイトを表示するだけでなく(パスワード自体は「非表示」です)、サイトにログインするたびに、仮想キーボードがないマスターパスワードを入力する必要があります。
キーロガーテストを実行したところ、この方法でパスワードが傍受されました。そのため、ハッカーは1つのサイトだけでなく、私のボールト、つまりすべてのログインにアクセスできます。 「require password Prompt」を無効にできるようになったため、仮想キーボードを介して1回だけパスワードを入力し、ログインのたびに入力する必要はありません。
これに関して私が抱えている問題は、LastPassがブラウザーで機能しているため、ハッカーがマスターパスワードを知らなくてもサイトにログインする可能性があることです。 LastPassは、RoboFormまたはKaspersky Password Managerと同様の仮想キーボードを使用する必要があります。
Firefoxや他のほとんどのパスワードマネージャーは、同様の障害、つまりマスターパスワードの入力が安全ではないという問題を抱えています。
暗号化される「データ」は何ですか?パスワードだけですか、それともURLですか?
「 cribs "を使用して、「facebook」、「youtube」、「gmail」などのように壊れるのではないかと思います...
編集:FirePassword/FireMasterの作者によると、パスワードとログインのみが暗号化されています:) http://securityxploded.com/firepassword.php
Key3.dbファイルには、暗号化されたパスワードチェック文字列、ソルト、アルゴリズム、バージョン情報などのマスターパスワード関連情報が含まれています。
Signons.txtファイルには、実際のサインオン情報が含まれています。ホストリストの拒否:ユーザーがFirefoxに認証情報を記憶させたくないWebサイトのリスト。通常のホストリスト:各ホストURLの後にユーザー名とパスワードが続きます。
Clipperz と呼ばれる優れたオンラインパスワードマネージャーがあります。どのコンピュータからでもパスワードにアクセスできるので便利です。独自のホスティングプロバイダーでソフトウェアをホストすることもできます。パスワードにアクセスするにはログインする必要があるため、Firefoxのパスワードマネージャーほど便利ではありませんが、インターネット接続がある場所でパスワードを取得できることは、私にとって非常に便利です。
代わりに LastPass を使用することを強くお勧めします。 Firefoxパスワードマネージャーは何もないよりはましですが、マスターパスワードがあっても、それほど安全ではありません。
複数のブラウザやPCでパスワードを共有したい場合は、LastPass]を試してみてください。パスワードを安全に保ちながら、パスワードを共有するための優れた安全な方法を彼らが実際に見つけたためです。
彼らはまた彼らの技術を詳細に説明しているので、彼らがパスワードをどれだけ正確に保護しているかを確認することができます。唯一の「欠点」:パスワードの暗号化と復号化にJavaScriptを使用するため、JavaScriptを使用する必要があります。
何が暗号化されているか、パスワード、またはURLを尋ねる人にとって、URLは提示された解決策のいずれにおいても暗号化されていません。
ブラウザがサイトにログインし、サイトのログインフォームで[ログインしたままにする]チェックボックスがオンになっていると、問題が発生します。セッションは何日も、何週間も開いたままです。コンピュータがマルウェアを継承している場合、マルウェアはサイトに侵入し、悪意のある行為を行う可能性があります。
他のテーマについては、私も1つあります。 Firefoxパスワードマネージャーで設定されたPaypalパスワード。マルウェアがCCアカウントを空にするのを待っているところです。他の人がFirefoxでPaypal/Amazonパスワードを設定しているので、それはおそらく起こっていません。