Firefoxパスワードマネージャーはどのくらい安全ですか？

Firefoxのパスワードマネージャーを長い間使用していますが、Firefoxの安全性を確認/検証したことはありません。

次の投稿は、luxsci.comブログからの最高の要約です。

マスターパスワードが使用されている場合、データはデフォルトでCBCモードの3DESを使用して暗号化されます。適切で強力なマスターパスワードを選択した場合、このレベルの暗号化で問題ありません。3DESは、2020年までの一般的な使用に適していると評価されています。

保存されたパスワードを解読するように設計されたプログラムが存在することに注意する必要があります。そのようなプログラムの1つがFireMasterです。強力なマスターパスワードを選択しないと、暗号化されたデータベースが不正侵入される可能性があります。

Mac OS Xユーザーの場合、考慮事項の1つは、OSレベルの「KeyChain」（パスワード管理）と統合されていないことです。このレベルで統合されたmozilla / Geckoブラウザーが必要な場合は、Caminoを使用できます。

これはおそらく偏った個人的な意見です。

他の多くの機能を提供するシステムにパスワードストレージを統合すると、そのシステムで起こりうる脆弱性に対するセキュリティが弱まると感じています。結合されたシステムの他の部分は、セキュリティチェーンの弱いリンクを形成します。また、非標準システムの使用にも役立ちます（このリンクの結論をご覧ください）。

そのためには、TrueCrypt暗号化ファイルに保存することを好みます。

他の議論、

• Firefox Password Managerで穴が開いたままになる、2007年7月20日。
• LastBit FireFox Password Recovery 1.0
  「保存されたパスワードのみがFireFoxパスワードで表示されることに注意してください。ユーザーがパスワードを入力したが保存していない場合、パスワードは表示されません。」
• パスワードマネージャーシュートアウト- eWallet対持ち歩く対てLastPassは、好意てLastPassを

私はLastPassを試しましたが、私の意見では、固有の弱点があります。つまり、仮想キーボードがありますが、これはLastPassボールトを開くだけです。これは、パスワードを持っているサイトを表示するだけでなく（パスワード自体は「隠されています」）、サイトにログインするたびに、仮想キーボードのないマスターパスワードを入力する必要があります。

キーロガーテストを実行しましたが、この方法でパスワードをインターセプトしていました。これで、ハッカーは1つのサイトだけでなく、私の金庫、つまりすべてのログインにアクセスできます。「パスワードプロンプトが必要」を無効にできるようになったため、ログインするたびにではなく、仮想キーボードを使用してパスワードを1回だけ入力します。

私がこれに関して抱えている問題は、LastPassがブラウザで機能するため、ハッカーはマスターパスワードが事実上開かれているため、マスターパスワードを知らなくてもサイトにログインできることです。LastPassは、RoboFormまたはKaspersky Password Managerと同様の仮想キーボードを使用する必要があります。

Firefoxおよび他のほとんどのパスワードマネージャーは、同様の障害、つまり安全でない方法でのマスターパスワードの入力に苦しんでいます。

どの「データ」が暗号化されますか？パスワードだけですか、それともURLですか？

「facebook」、「youtube」、「gmail」などの「ベビーベッド」を使用して破損する可能性があるのではないかと思います...

編集：FirePassword / FireMasterの作成者によると、パスワードとログインのみが暗号化されます:) http://securityxploded.com/firepassword.php

key3.dbファイルには、暗号化されたパスワードチェック文字列、ソルト、アルゴリズム、バージョン情報などのマスターパスワード関連情報が含まれています。

Signons.txtファイルには、実際のサインオン情報が含まれています。ホストの拒否リスト：ユーザーがFirefoxに認証情報を記憶させたくないWebサイトのリスト。通常のホストリスト：各ホストURLの後にユーザー名とパスワードが続きます。

Clipperzと呼ばれる優れたオンラインパスワードマネージャーがあります。どのコンピューターからでもパスワードにアクセスできるのは素晴らしいことです。独自のホスティングプロバイダーでソフトウェアをホストすることもできます。パスワードにアクセスするためにログインする必要があるため、Firefoxのパスワードマネージャーほど便利ではありませんが、インターネット接続が可能な場所でパスワードを使用できることは本当に便利です。

代わりにLastPassを使用することを強くお勧めします。Firefoxのパスワードマネージャーは何よりも優れていますが、マスターパスワードを使用しても、それほど安全ではありません。

複数のブラウザやPCでパスワードを共有したい場合は、LastPassを試してみてください。パスワードを安全に保ちながら、パスワードを共有するための優れた安全な方法を見つけました。

また、彼らは彼らの技術を詳細に説明しているので、あなたは彼らがどのようにパスワードを保護しているかを正確に確認することができます。唯一の「欠点」：JavaScriptを使用してパスワードを暗号化および復号化するため、JavaScriptを使用する必要があります。

暗号化されているもの、パスワード、またはURLを尋ねる場合、提示されたソリューションのいずれでもURLは暗号化されません。

この問題は、サイトのログインフォームで[ログイン状態を維持する]チェックボックスをオンにしてブラウザがサイトにログインしている場合に発生します。セッションは数日間、さらには数週間開いています。コンピューターがマルウェアを継承している場合、マルウェアはサイトに飛び込んで悪行をするだけです。

もう1つのテーマについては、私は、たとえばFirefoxパスワードマネージャーで設定されたPayPalパスワードも持っています。今では、マルウェアがCCアカウントを空にするのを待っています。FirefoxでPayPal / amazonのパスワードを設定している人はほとんどいないため、おそらく発生していません。