web-dev-qa-db-ja.com

Firefox Password ManagerはLastPassより安全ではありませんか?

LastPassパスワードマネージャーをインストールした後、「安全でないFirefoxパスワードマネージャーを無効にする」オプションを含むログインダイアログが表示されます。

(このオプションは、マスターパスワードが使用されているかどうかに関係なく、Firefox Password Managerが有効になっている限り表示されます。)

LastPass login screen

同じ暗黙の脅威モデルで同じタスクを実行すると、FirefoxはLastPassよりも安全性が低くなりますか?

重要:りんご同士の比較の場合、これはLastPassと次のものを比較することを意味します。

  1. Firefox Password Manager(ローカルストレージ)
  2. withMaster Password(ローカル暗号化/セキュリティ)
  3. およびFirefox Sync(リモートストレージ、暗号化/セキュリティ、デバイスの同期)

notLastPassをマスターパスワードなしの非同期Firefoxと比較しています)。脅威モデルは、オンラインバンキングなどのパスワードの入力や、所有しているさまざまなマシンのブラウザーインストール間でのログイン資格情報の保存と共有など、日常のブラウザー使用のようなものだと思います。

(私の最初の調査により、暗号化されているログインコンポーネントと暗号化されていないログインコンポーネントの混同を含む、Firefoxの古い(同期前)バージョンの不満と脆弱性が明らかになりました 新しい同期 is "zero-knowledge" (ただし、プレーンテキストでローカルに保存されるものについての明確化はありません)、LastPassは暗号化にJavaScriptを使用しているため、本質的に安全ではなく、最も混乱しやすいが、MozillaからのLastPassの承認です。)

23
david.libremone

私の意見では、Lastpassは、ユーザーがFirefoxのマスターパスワードを使用していない場合、安全でないFirefoxパスワードマネージャーを指します。これはリンゴ同士の比較ではありません。

Firefoxはパスワードの保存に3DESを使用し、マスターパスワードが設定されていない場合はnull( "")が使用されますが、これは確実に安全ではありません。 Chrome、IEおよびFirefoxがパスワードを保存する方法の詳細については、こちら 優れた記事 を参照してください。

マスターパスワードが使用されている場合(十分に強力な場合)、実装のバグがないため、パスワードを簡単に解読できるとは思えません。

8
Jor-el

スクリーンショットのチェックボックスは、マスターパスワードなしのFirefix Password Managerを指しますが、チェックされず、どちらの場合でも機能します。たいていの場合、人々はマスターパスワードなしでFirefoxのパスワードマネージャーを使用していると思います。彼らはサイトにログインし、Firefoxはパスワードを保存することを提案し、彼らは同意し、それだけです。これはほとんどの人にとってのユースケースですが、おそらくこのサイトの訪問者にとってはそうではありません。

したがって、Lastpassがこの質問をするとき、彼らは単純化しすぎますが、私は正当な理由があると思います。 「通常の」ユーザーは混乱することはなく、このボックスをチェックできます。保護されていないFirefoxパスワードマネージャからパスワードを削除することは、すでにLastpassを使用することを決定しているため、良い考えです。

すでにここで回答されているように、マスターパスワードを使用する場合、それはかなり安全です。次に機能とリスクに行き着き、どちらにも長所と短所があります。 Lastpass機能のほとんどは、アドオンを使用してFirefox Password Managerに追加できます。

私は最初にFirefox、次にLastpass、次に再度Firefox、そして最後にLastpassの両方を使用しました...最終的にLastpassを選択する理由は、私がずさんになり、それらのすべての機能が1つの場所でうまくいくことに気付いたからです。アップロード機能を完全に信頼しない場合は、Keepassを使用して一部のパスワードをオフラインにしてください。

1
SPRBRN