web-dev-qa-db-ja.com

FirefoxのLockwiseは安全ですか?

Firefox Password Managerにたくさんのパスワードが保存されています。現在はLockwiseと呼ばれています。私は最近Operaブラウザをマシンにインストールしました。ユーザー名やパスワードなどのすべての履歴データとフォームフィールドをOperaのローカルデータベースにインポートすることができました。理解しているように、ユーザー名とパスワードは、HTTPSを介してクリアテキストでYahoo-Mailなどのサーバーに送信されます。したがって、Operaは、資格情報をクリアテキストのフォームフィールドに適用する必要があります。

Operaがパスワードを取得できる場合、他の有害なソフトウェアがパスワードを正しく取得する可能性がありますか?

何か不足していますか?だから私の最後の質問です。 Mozilla FirefoxのLockwiseは本当に保存されますか?

4
StackUnderflow

デフォルトでは、Firefoxは、デバイス間で同期するためにサーバーに保存されている場合にのみパスワードを暗号化します。ローカルで暗号化して、ユーザープロファイルで実行中の他のプロセスがそれらを読み取れないようにする場合は、Firefoxの設定でマスターパスワードを設定する必要があります。これはまだすべてのデバイスで個別に行う必要があると思います。

これは、主要なブラウザにパスワードを保存するという、よく知られた欠点です。それらはすべて(とにかくデフォルトで)セキュリティよりも利便性を選択し、ローカルに保存されたパスワードを、ローカルマシンの同じユーザーアカウントで実行されているすべてのプロセスで簡単に利用できるようにします。別の方法で行うと、ユーザーがブラウザーを起動するたびに(または、少なくとも記憶されているパスワードが使用されるたびに)パスワードを入力する必要があります。

1
Ben

Lockwiseには2つの大きな懸念があります。

  1. 自動タイムアウト/ログアウトしないため、攻撃者がデバイスにアクセスした場合、攻撃者はすべてのパスワードにもアクセスできます。

  2. Lockwiseに保存されているパスワードは、Firefoxにも保存されます。マスターパスワードを使用すると、PC上のFirefoxにセキュリティレイヤーを追加できますが、Firefoxのモバイルバージョンにはこの機能がないため、Firefoxアカウントにアクセスできる人は誰でも、ロックワイズパスワードにアクセスできます。いずれかのデバイスで設定されたマスターパスワード。最大の問題は、FirefoxアカウントをモバイルデバイスのFirefoxに同期すると、Firefoxアカウントにログインしたままになるため、すべてのパスワードがデバイスに侵入した人が使用できるようにするためです。

あなたの質問のさらなる調査: https://medium.com/@JoeKreydt/how-secure-is-firefox-lockwise-password-manager-51d44dcf4dbc?sk=dc7b81811044ebc08e4a77eb6c2fa8fd

3
JoeKreydt

ここ はLockwiseが行うことです:

PBKDF2およびHKDFとSHA-256を使用して、Firefoxアカウントのユーザー名とパスワードから暗号化キーを作成します。

したがって、暗号化キーは、Firefoxのユーザー名とパスワードから取得されます。 Lockwiseを使用するたびにサインインできないように資格情報がキャッシュされるので、Operaは、攻撃者のように、キャッシュされた資格情報を使用してデータベースにアクセスできたと考えられます。Lockwiseが特に資格情報がファイルレベルでキャッシュされている場合は、無害なプログラムや悪意のあるプログラムのどちらもパスワードを要求しません。これは、ファイルを暗号化し、その横にパスワードを保存するようなものです。

その場合、ロックできるパスワードマネージャー、またはより頻繁にロックし、復号化されたデータをメモリから削除し、データベースのロックを解除するときにマスターパスワードを新たに要求する方が安全なオプションです。

どちらが「安全」であるかは、防御しようとしている脅威のタイプによって異なります。それらは、特定の脅威に関してのみ安全です。それでも、ローカルシステムのパスワードデータベースを直接およびプログラムで解読する既存のルートは、マスターパスワードを手動で入力する必要があるルートよりも多くの攻撃対象となります。

1
ig-dev

「安全」であるかどうかは、分析によって異なります。 Lockwiseクラウドストレージは安全なようです。

データを他のプログラムから保護する必要があるかどうかという問題は、メディアで頻繁に取り上げられる問題です。

主な考え方の学校があります:

  • 1つは、サードパーティによって平準化されることが多いが、アクセスは可能な限り困難であるべきだということである。したがって、データはローカルで暗号化し、可能な限りロックダウンする必要があります。
  • もう1つは、とにかくアカウントにアクセスできる攻撃者に対する防御策がないことです。したがって、アカウント内で実行されている他のプログラムによる攻撃に対して多大な労力を費やすことは意味がありません。

主要なブラウザベンダーは、主に後者を採用しています。また、パスワード管理を容易にすれば、より多くの人々がそれを使用するようになるという考えも持ち合わせています。これは、全体的なセキュリティ上の利点になります。

サードパーティのパスワードマネージャーは、多くの場合、エンドユーザーの追加の手間を犠牲にして、ローカルデータを保護するための追加の対策をとります。パスワード管理は、常に利便性とセキュリティの間のトレードオフです。結局のところ、かなり安全なパスワードマネージャーを使用する方が、非常に安全なパスワードマネージャーを使用して使用するよりもはるかに優れています。

Lockwiseの場合、マスターパスワードを設定することで、ローカルストレージを少し「保護」できます。

ただし、本質的に「悪い」アプローチはありません。

1
averell

はい、安全です。マルウェアがパスワードデータベースファイルを読み取って何らかの方法でマスターパスワードを盗むほどシステムが危険にさらされている場合、たとえ使用していなくても、同じマルウェアが入力時に各サイトのパスワードを読み取るだけで済みます。