ユーザー生成の多かれ少なかれ予測可能なパスワードを、自動生成された安全なパスワードと交換するために、さまざまなパスワードマネージャーを調べました。 KeePass とFeeFox(Firefox統合用)を偶然見つけました。これは信頼できる優れた組み合わせのようです。
しかし、これは1つの質問につながりました:なぜ組み込みのパスワードマネージャーと同期機能を信頼すべきではないのですか?私はすべてのことについてFirefoxをすでに信頼しており、パスワードマネージャにパスワードを保存しなくても、パスワードが盗まれる可能性があります。これに対して反対することはありますか(すべてのページに対して安全でランダムなパスワードを生成し、パスワードデータベースを安全なパスワードで暗号化する限り)?
また、2番目の質問が表示されました。Firefoxはとにかくどれほど信頼できるのでしょうか。プライバシー情報ページで、次のように述べています。
When do we share your information with others?
...
When the law requires it. We follow the law whenever we receive requests about you from a government or related to a lawsuit.
...
したがって、彼らが私について知っているすべてのものを(アメリカの)政府機関と共有することは可能です。これを行わない代替ブラウザさえありますか?
RobMに同意します。
したがって、彼らが私について知っているすべてを(アメリカの)政府機関と共有することは可能です。
はい、可能です。
これを行わない代替ブラウザさえありますか?
オニオンルーター。他にもあるかもしれません。ローカル同期を使用し、マルウェアとフィッシング保護を無効にすると、Firefoxでもこのように機能します。個人的に、私はそれらを無効にしません。
これはFirefoxの問題ではないと思います。これは政府の問題です。たとえば、さまざまな国での 通信データの保持 について読むことができます。電子フロンティア財団 良い書き方がありますStored Communications Act について。
synchronization
は通常、データがonlineに保存されることを意味することに注意してください。ローカル同期が可能であることを認識しています。ただし、この表現のため、データはオンラインで(「クラウドに」)保存されている可能性が高く、強制された場合は適切な当局にデータを引き渡す必要があります。
繰り返しになりますが、企業として、ユーザー/顧客に関する情報をオンラインで保存している場合、多くの場合、法執行機関に強制された場合に必須で引き渡すことができます。もしあなたがnot情報を保存しているなら、持っていないものを引き渡す必要はありません。
Firefox is情報を保存する許可する場合。これは非常に便利な機能で、政府のデータ規制に拘束されるという追加の影響があります。私に尋ねると、Firefoxは非常に信頼できます。しかし、あなたはあなたの国の政府を信頼していますか?
メタデータのため、これが暗号化されているかどうかは関係ありません。クラウドに保存されたデータを解読できる可能性があります。それでも、特定の国の特定の法律により、問題にならない場合があります。待って、何?
例:X
時にY
サーバーに接続しているユーザーが本当に必要なすべての場合があります。例として、中国にいて、法輪功に関連するウェブサイトにアクセスすることになるかもしれません。 Firefoxが中国で動作するためには、彼らは中国の法律に協力せざるを得ません。
悪意のあるWebサイトであるかどうかを確認する前に接続したIPアドレスなどのメタデータの詳細が保存される場合がありますeven VPNの背後にいる場合、以前のプロファイルはother IPアドレスに関連付けられています。
これはメタデータcanがどのように機能するかを示す大まかな例であり、必ずしもあなたに関係があるわけではありません。これがメタデータがいかに強力であるかを説明し、他の状況に適用できることを願っています。
Mozillaの発言を見てみましょう。 組み込みのフィッシングおよびマルウェア対策はどのように機能しますか? :
"Firefoxは、報告されたサイトが最後の更新以降にリストから削除されていないことを確認するための再確認を要求します。この要求には、訪問したサイトのアドレスは含まれません、アドレスから得られた部分的な情報のみが含まれます。 "
この部分的な情報/メタデータ=反逆者の同調者として公開されました。死の星はその道にあります。
そのアイデアが気に入らない場合は、オンラインで同期せず、 組み込みのフィッシングおよびマルウェア対策 を使用しないでください。個人的には、多くの状況で同期するという概念は好きではありません。ただし、組み込みのフィッシングおよびマルウェア対策を使用します。これは、Webサーフィン中に行う必要がある作業の量を最小限に抑えるのに役立ちますandそれは私を保護します!
Mozillaは彼らが何をしているのかについて前向きです。彼らはあなたに嘘をついていません。
彼らはしないといけない。そして、なぜ彼らはそうしませんか?多くの場合、たとえば犯罪者を追跡するためにそうすることには非常に正当な理由があります。法律に従うことは、anyの国でビジネスを行うための基本的な要件です。国の法律が気に入らない場合は、国外に出てビジネスをしないという選択肢があります。それらの法律を破ってみて、どれだけ長持ちするか見てください。
残念なことに、国々が公正な裁判を提供せず、すぐに投獄したり、法輪功のような宗教団体などの禁止された活動に従事している人物を処刑したりする場合もあります。繰り返しになりますが、会社が国の法律を好まなければ、彼らは去ることがあります。
意識を高め、腐敗と戦うことは1つのことであり、この回答の範囲を超えていますが、どの国でもあらゆる種類のビジネスを行うことは期待できませんnlessあなたは彼らの法律に従います。そして、それがFirefoxがこの免責事項を提供する理由です。彼らはあなたからそれを隠すことができますが、彼らはあなたに真実を語っています。
私に尋ねると、Firefoxは非常に信頼できるものです。あなたの政府が今何をしているのか、Firefoxがあなたの国に存在しているかどうかはわかりません。
どのくらい信頼できますか?ほとんどの目的には十分であり、どこでも同じパスワードを使用するよりも優れています。
あなたのデータは暗号化されています
Firefox Syncデータは暗号化され、暗号化キーはユーザーが制御するデバイスに残ります。 Mozillaのサーバーは暗号化されたデータのみを認識し、キーにアクセスできません。ハッキングされたり政府命令を受けた場合、危険にさらされるのは暗号化されたデータのみです。少なくとも、強力なパスワードを使用している限り、個人データは安全に保たれます。 詳細
バックドアに気づくでしょう
あなたが指摘するように、あなたはすでにあなたのコンピュータでFirefoxを走らせています。すべてのファイル、カメラやマイクなどのハードウェアにアクセスし、すべてのWebトラフィックを監視できます。技術的にはトロイの木馬になり、静かに閲覧履歴をNSAに送信したり、カメラフィードをサイバー犯罪者に送信したりすることができます。ただし、ハッカーや悪意のある内部関係者が製品をバックドアしようとした場合、ユーザーベースが膨大であるため、すぐに気付かれます。また、ほとんどの政府がFirefoxにブラウザをバックドアするように合法的に命令することはできないことを理解しています。
主なリスクはマルウェアです
データに対する最大の脅威は、コンピューターにマルウェアが存在することです。これは、使用しているブラウザー(Firefoxを含む)の脆弱性、プラグイン、電子メールクライアント、オフィスソフトウェア-ネットワークに接続するもの、または信頼できないソースからのファイルを処理するものに起因する可能性があります。マルウェアのリスクは非常に高いです 1つの調査 米国のコンピュータの30%がマルウェアに感染していると報告しています。
私にとって、信頼性は、組織があなたの詳細を決して開示しないという主張を必ずしも必要としません。むしろそれは、なされたいかなる主張も正直でなければならないことを意味します。
ビジネスとして、Firefoxは事業を展開するすべての国の政府から、法律に準拠するよう強いられる可能性があります。これを認め、自分の立場を明確に説明する組織は、このような事実や内部でのデータの格納と処理方法に関する情報を覆い隠す組織よりもはるかに信頼できます。
政府への情報開示に関する法的要件に従うことに関して「法外」で活動すると主張したすべての組織も、企業がデータを処理する方法において政府が企業に課した保護の範囲外になります...法律」の主張はそもそも。
Firefoxを信頼したくない理由は、Firefox(またはクラウドプロバイダー)を信頼せずに、パスワードマネージャーを使用することの使いやすさとセキュリティの利点を得ることができるからです。
RobMが指摘しているように、Firefoxに送信したデータを引き渡さざるを得ないリスクがある。また、誰かがサーバーに侵入するリスクもあります。 Firefoxはそのデータを保護するために efforts を作成しました。ローカル同期モードで使用できるFirefoxを統合する他のパスワードツールがあります。たとえば、1Passwordを使用すると、制御するデバイスのデータを保持したり、より信頼できる別のクラウドプロバイダーを選択したりできます。
最初の質問に答えます。Firefoxや特定のブラウザーに組み込みのパスワードマネージャーを使用したくない主な理由は、セキュリティよりも潜在的なアクセシビリティに関係しています。適切なブラウザアドインでKeePassを使用してそのKeePassにアクセスすることにより、単一のKeePass金庫を使用してすべてのパスワードを保存し、多数のアプリケーションでそれらにアクセスできます。したがって、この場合は、ブラウザが適切なセキュリティ対策を講じていないことよりも、追加される可能性のある機能が重要です。個人的には、3つのブラウザーをすべて異なる目的で使用する必要があるというニーズがあります。
次に、より重要な2番目の質問について説明します。これは難しい質問であり、個々のユーザーへの潜在的な影響を突き止めるのが非常に難しくなる多くの難しい影響があります。ただし、この問題をある程度理解するために私がお勧めするのは、さまざまなブラウザーの透明性レポートを読むことです。たとえば、Google Chrome透明性レポートはここにあります: https://www.google.com/transparencyreport/userdatarequests/legalprocess/
これらのレポートに通常含まれる内容について簡単に要約します。これらのレポートには通常、会社が要求にどのように応答するか、国ごとに行われる要求の数に関する数値、および一部のデータを返した要求の割合に関するより具体的な説明が含まれています。また、最近の出来事を考えると、彼らは特に米国の問題に取り組むセクションも持っています。
ブラウザーにパスワードを保存しないでください。
攻撃者にとってそれが簡単になるからです。サイトにXSSまたは同様の脆弱性があると、パスワードが盗まれる可能性があります。
あなたは悪いプラグインをインストールします/ ...それはあなたのパスワードを直接盗むことができます。正当なプラグインに攻撃者が使用するセキュリティホールがある場合も同様です。別のプロセスからそれを取得することは、はるかに多くの労力を要し、管理者権限なしでは不可能ですらあります。
2番目の質問:
これは基本的に、米国政府や関連機関がアクセスできる信頼できるオンラインストレージにKeePassデータベースを保存するのと同じです。この質問は、ここと他の質問ですでに十分に回答されていると思います: https://security.stackexchange.com/search?q=keepass+cloud
マスターパスワードは使いにくいので、Firefoxのパスワードマネージャーを信頼すべきではありません。私はそれを試してみましたが、数日後、Firefoxがクラッシュしたり再起動したりするたびに、迷惑なモーダルマスターパスワードボックスが表示されるたびに痛みを感じました。通常のユーザーはすぐにそれを無効にし、それらを防ぐために何もできないことを保証します。
また、Firefoxが開いている時間に関係なく、マスターパスワードの有効期限はありません。ラップトップが休止状態/スリープ状態のときに誰かが盗んだ場合(バッグの中にいるときと同じように)、すべてのパスワードを表示できます。
Android Firefoxでは、Firefoxが終了したときとバックグラウンドに留まっているときのアイデアを理解できなかったため、マスターパスワードボックスは二重に苦痛です。
ほぼすべてのプラグインパスワードマネージャーがより安全ですand同時にで使用できます。