web-dev-qa-db-ja.com

誰かがハードドライブにアクセスした場合にEFSでFireFoxフォルダーを暗号化して、保存されたパスワードを保護していますか?

やりたいこと:
FireFoxの「パスワードの保存」機能を使用します(Windows 10の場合)なし FireFoxのマスターパスワード機能を使用します。

私が恐れていること:
誰かが私のラップトップを盗んだり、私のWindowsアカウントのパスワードにアクセスせずに別の方法で私のハードドライブにアクセスしたりしています。

アプローチ:
EFSを使用してフォルダーを暗号化しています%AppData%/Mozilla/Firefox

追加情報:
Firefoxは、パスワードをlogins.json(プロファイルフォルダにある)というファイルに保存します。それらは暗号化されていますが、それらを復号化するための秘密は、同じフォルダーにあるkey4.dbというファイルにあります。

これは、説明されている状況と脅威モデルにFireFoxのマスターパスワード機能を使用する代わりの適切な方法ですか?

1
Tim Pohlmann

概説する特定のシナリオ(コンピューターまたはハードディスクの盗難)の場合、それはおそらく機能します。 EFSはWindowsパスワードに基づいており、Windowsのパスワードハッシュは現代の標準では信じられないほど弱いため、パスワードは極端に専用の攻撃者がハッシュをブルートフォースするのを防ぎます。

さらに、EFSは、同じマシン上の別のユーザーアカウントで実行されている悪意のある(または侵害された)プログラムに対する保護を提供します。その脅威に関心がある場合は、おそらくEFSが適しています。ただし、EFSは暗号化されたファイルに関するいくつかの情報(具体的には、アクセス時間やファイルサイズなどのファイルメタデータ)をリークするため、EFSを唯一の暗号化レイヤーとして使用する場合は、気にしないでください。

同じマシンのクロスユーザーの脅威を気にしない場合のより良いオプションは、BitLockerボリューム暗号化です。もともとは最も高価なWindowsエディションでのみ利用でき、ハードウェアサポートが必要ですが、最近では、EFSをサポートするすべてのWindowsエディションもBitLockerをサポートしていると思います。起動時パスワードを使用してTPMをスキップできます。このパスワードは、Windowsユーザーアカウントのパスワードハッシュよりもはるかに安全にハッシュされます。さらに、BitLockerは、電子的に保持する他のデスクトップアプリ、ドキュメント、マルチメディアファイルに保存されているパスワード/トークンなど、Webブラウザーの外部にある可能性のある他のすべての機密データも保護します。これを行うためのオンラインのガイドがたくさんあります。 https://www.howtogeek.com/howto/6229/how-to-use-bitlocker-on-drives-without-tpm/ ウォークスルーはかなり優れています。

2
CBHacking