FirefoxパスワードマネージャとFirefox Sync
LastPassからデフォルトのFirefox Password ManagerおよびFirefox Syncに移行しました。 Firefox Password ManagerとFirefox Syncの使用に疑問があります。マスターパスワードを使用しないとしましょう:
- firefoxアドオンがアクセスして私の保存したパスワードを読み取り、どういうわけか私からそれらを盗むことができますか(アドオンを作成した人/人が私のパスワードを表示できるようにするため)? (例: this アドオンを使用)
- firefoxのアドオンが
Firefox Syncに保存されている保存済みのパスワードにアクセスし、読み取って、どういうわけか私からそれらを盗むことができますか? - セキュリティを考慮した場合、
Firefox SyncはLastPassより優れていますか?サーバーを信頼できますか?Firefox Syncセキュリティはどのように機能しますか? Firefox Password Managerでマスターパスワードを使用しない場合、誰かが私のパスワードを盗むonly方法は、ファイルシステムなので、Webサイトとアドオンの両方が私の許可なしに私のパスワードを表示することはできません(1と2を参照)?
ありがとう
- 明らかに、はい。アドオンは保存されたパスワードにアクセスできます。あなた自身が、パスワードを保存、読み取り、編集できるアドオンを使用しています。これがなぜあなたの質問の一部なのか、私にはよくわかりません。それにもかかわらず、この機能がなくても、アドオンはWebサイトのコンテンツへのアクセスを使用して同じ正当なタスクを実行することがよくあります。パスワードフィールドからテキストをこすることも難しくありません。
- はい。同期されたパスワードは、保存されている他のパスワードと同じです。これらはすべて同じ場所に保存され、オプションをオンにすると同期されます。
- 私が知る限り、マスターパスワードを使用する場合、セキュリティモデルはほぼ同じです。ローカルで暗号化するので、サーバーに侵入する人は、ログイン資格情報を読み取るためにマスターパスワードを破る必要があります。マスターパスワードがなくても、 Mozillaは引き続き同期アカウントパスワードを使用してパスワードを暗号化します なので、データがMozillaのサーバーから盗まれた場合でも、パスワードは安全ですif同期パスワードは強力です。もちろん、Mozillaに侵入した場合、パスワードだけではなく、より多くの情報が得られます(たとえば、同期されたブックマーク、保存された閲覧履歴など)。誰もが両方または何かでペンテストを行っていない限り、2つの間のセキュリティ慣行を比較する資格があります。ユーザーのセキュリティについては、LastPassは2要素認証をサポートしていると思います。そのため、この機能を使用すると、セキュリティで勝つことさえあるかもしれません。つまり、LastPassには、私が聞いた少なくとも2つの違反がありましたが、Mozillaには私が知っている違反はありませんでした。 ¯\ _(ツ)_ /¯です。
- ある意味では、はい、ローカルアクセスが必要です。上記の暗号化を考慮すると、Mozillaはパスワードデータを使用可能な形式で保持することはありません。ただし、ローカルアクセスは、上で説明したように、ユーザーアカウントとして実行されている任意のプログラム、または任意のFirefoxアドオンである可能性があります。マスターパスワードを使用する場合は、マスターパスワードを入力してFirefoxを実行するか、マスターロガーをキーロガーで盗む必要があります。マスターパスワードがなければ、保存したパスワードは、デバイスで実行されているプログラムによっていつでも読み取ることができます。フルディスクが暗号化されておらず、デバイスを破棄するときにディスクを安全に消去または破棄しない場合、マスターパスワードを使用しない場合でも、保存されているパスワードをそこから取得できます。使用できるディスクバックアップストレージについても同じことが言えます。リークのより一般的な原因は、サポートを得ようとしたり、ユーザーディレクトリまたは何かをバックアップしようとしたりしたときに、他のFirefox構成データと共にそれらを誤って公開していることです。だから私はここでの答えはあなたが防御しようとしているものに依存すると思います。