FirefoxのLockwiseは安全ですか？

Lockwiseには2つの大きな懸念があります。

1. 自動タイムアウト/ログアウトしないため、攻撃者がデバイスにアクセスした場合、攻撃者はすべてのパスワードにもアクセスできます。

2. Lockwiseに保存されているパスワードは、Firefoxにも保存されます。マスターパスワードを使用すると、PC上のFirefoxにセキュリティレイヤーを追加できますが、Firefoxのモバイルバージョンにはこの機能がないため、Firefoxアカウントにアクセスできる人は誰でも、ロックワイズパスワードにアクセスできます。いずれかのデバイスで設定されたマスターパスワード。最大の問題は、FirefoxアカウントをモバイルデバイスのFirefoxに同期すると、Firefoxアカウントにログインしたままになるため、すべてのパスワードがデバイスに侵入した人が使用できるようにするためです。

あなたの質問のさらなる調査： https://medium.com/@JoeKreydt/how-secure-is-firefox-lockwise-password-manager-51d44dcf4dbc?sk=dc7b81811044ebc08e4a77eb6c2fa8fd

ここ はLockwiseが行うことです：

PBKDF2およびHKDFとSHA-256を使用して、Firefoxアカウントのユーザー名とパスワードから暗号化キーを作成します。

したがって、暗号化キーは、Firefoxのユーザー名とパスワードから取得されます。 Lockwiseを使用するたびにサインインできないように資格情報がキャッシュされるので、Operaは、攻撃者のように、キャッシュされた資格情報を使用してデータベースにアクセスできたと考えられます。Lockwiseが特に資格情報がファイルレベルでキャッシュされている場合は、無害なプログラムや悪意のあるプログラムのどちらもパスワードを要求しません。これは、ファイルを暗号化し、その横にパスワードを保存するようなものです。

その場合、ロックできるパスワードマネージャー、またはより頻繁にロックし、復号化されたデータをメモリから削除し、データベースのロックを解除するときにマスターパスワードを新たに要求する方が安全なオプションです。

どちらが「安全」であるかは、防御しようとしている脅威のタイプによって異なります。それらは、特定の脅威に関してのみ安全です。それでも、ローカルシステムのパスワードデータベースを直接およびプログラムで解読する既存のルートは、マスターパスワードを手動で入力する必要があるルートよりも多くの攻撃対象となります。

「安全」であるかどうかは、分析によって異なります。 Lockwiseクラウドストレージは安全なようです。

データを他のプログラムから保護する必要があるかどうかという問題は、メディアで頻繁に取り上げられる問題です。

主な考え方の学校があります：

• 1つは、サードパーティによって平準化されることが多いが、アクセスは可能な限り困難であるべきだということである。したがって、データはローカルで暗号化し、可能な限りロックダウンする必要があります。
• もう1つは、とにかくアカウントにアクセスできる攻撃者に対する防御策がないことです。したがって、アカウント内で実行されている他のプログラムによる攻撃に対して多大な労力を費やすことは意味がありません。

主要なブラウザベンダーは、主に後者を採用しています。また、パスワード管理を容易にすれば、より多くの人々がそれを使用するようになるという考えも持ち合わせています。これは、全体的なセキュリティ上の利点になります。

サードパーティのパスワードマネージャーは、多くの場合、エンドユーザーの追加の手間を犠牲にして、ローカルデータを保護するための追加の対策をとります。パスワード管理は、常に利便性とセキュリティの間のトレードオフです。結局のところ、かなり安全なパスワードマネージャーを使用する方が、非常に安全なパスワードマネージャーを使用して使用するよりもはるかに優れています。

Lockwiseの場合、マスターパスワードを設定することで、ローカルストレージを少し「保護」できます。

ただし、本質的に「悪い」アプローチはありません。

はい、安全です。マルウェアがパスワードデータベースファイルを読み取って何らかの方法でマスターパスワードを盗むほどシステムが危険にさらされている場合、たとえ使用していなくても、同じマルウェアが入力時に各サイトのパスワードを読み取るだけで済みます。