Firefox 비밀번호 관리자는 얼마나 안전합니까?


49

Firefox 암호 관리자를 오랫동안 사용해 왔지만 보안 수준을 확인 / 확인하지 않았습니다.


이것은 security.SE에서 더 잘 물어볼 수 있습니다.
naught101

답변:


27

다음 포스트는 luxsci.com 블로그 에서 가장 잘 요약합니다.

마스터 비밀번호를 사용하는 경우 데이터는 기본적으로 CBC 모드에서 3DES를 사용하여 암호화 됩니다 . 강력하고 강력한 마스터 암호를 선택하면이 수준의 암호화가 적합합니다. 3DES는 2020 년까지 일반적으로 사용하기에 적합 합니다 .

저장된 암호를 해독하도록 설계된 프로그램이 있다는 것을 알고 있어야합니다. 그러한 프로그램 중 하나는 FireMaster 입니다. 강력한 마스터 암호를 선택하지 않으면 암호화 된 데이터베이스가 손상 될 수 있습니다.


저장된 암호를 해독하는 데 시간이 얼마나 걸리고 강력한 마스터 암호로 저장된 암호를 해독하는 데 얼마나 걸리는지 궁금합니다. 흠, 이것이 2009 년의 것임을 보라. 그것은 여전히 ​​똑같아 야한다.
Adam

3

Mac OS X 사용자 인 경우 고려해야 할 사항 중 하나는 OS 레벨 "KeyChain"(암호 관리)과 통합되지 않은 것입니다. 이 수준에서 통합 된 mozilla / Gecko 브라우저를 원한다면 Camino를 사용할 수 있습니다.


4
정확히 질문이 아니었다.
Joey

1
@benc-Mozilla가 이것에 대한 지원을 추가해야합니까?
1.21 기가 와트


3

이것은 편향된 개인적인 의견 일 것입니다.

다른 많은 기능을 제공하는 모든 시스템에 암호 저장소를 통합하면 해당 시스템의 취약점에 대한 보안이 약화됩니다. 결합 된 시스템의 다른 부분은 보안 체인에서 약한 링크를 형성합니다. 또한 비표준 시스템을 사용하는 데 도움 이됩니다 (이 링크의 결론을 읽으십시오 ).

이를 위해 TrueCrypt 암호화 파일 에 저장하는 것을 선호 합니다.

다른 토론들


2
Firefox Password Manager에 구멍이 남아 있습니다. "다른 사용자가 스크립트를 포함하는 자신의 페이지를 만들 수있는 웹 사이트의 암호 관리자에게 암호를 위임해서는 안됩니다." 답변 : "Firefox의 안전에 관한 것이 아닙니다. 사용자가 자신의 사이트에 Javascript 코드를 삽입 할 수있는 웹 사이트의 안전에 관한 것입니다." 결론 : 비밀번호 관리자는 본질적으로 안전하지 않은 사이트에서 "비보안"입니다 .
curiousguy

1
@ curiousguy : 모든 암호 관리자에 대해서도 마찬가지입니다. 암호는 항상 모든 웹 양식에 일반 텍스트로 입력해야합니다. 암호 관리자의 보안 결함은 아닙니다.
naught101

2019의에서의 TrueCrypt는 알려진 취약점 (CVE-2015-7358)이 사용되지 않으며 계승 Veracrypt . 이것은 실제로 Nik가 말한 것에 대한 좋은 예입니다. 암호화 구현은 여전히 ​​취약한 것으로 알려져 있지 않지만 프로그램 자체의 기능은 사용자 수준 공격자가 높은 권한을 얻기 위해 사용할 수 있습니다. Veracrypt 개발자는 이러한 문제를 해결하고 감사를 통과했습니다.
Eikre

2

나는 LastPass를 시도했으며 내 생각에는 본질적인 약점이 있습니다. 즉, 가상 키보드가 있지만 LastPass 저장소 만 열립니다. 여기에는 비밀번호가있는 사이트가 표시 될뿐 아니라 (비밀번호 자체는 '숨겨 짐'으로 표시) 사이트에 로그인 할 때마다 가상 키보드가없는 마스터 비밀번호를 입력해야합니다.

키로거 테스트를 실행했는데 이런 식으로 비밀번호를 가로 챌 것입니다. 이제 해커는 한 사이트뿐만 아니라 내 볼트, 즉 모든 로그인에 액세스 할 수 있습니다. 이제 '비밀번호 요청'을 비활성화 할 수 있으므로 로그인 할 때마다 가상 키보드를 통해 비밀번호를 한 번만 입력하면됩니다.

내가 가지고있는 문제는 LastPass가 브라우저에서 작동함에 따라 해커가 마스터 비밀번호가 실제로 열려 있기 때문에 마스터 비밀번호를 몰라도 사이트에 로그인 할 수 있다는 것입니다. LastPass는 RoboForm 또는 Kaspersky Password Manager와 유사한 가상 키보드를 사용해야합니다.

Firefox 및 대부분의 다른 비밀번호 관리자는 유사한 방식으로 마스터 비밀번호를 안전하지 않은 방식으로 입력합니다.


0

어떤 "데이터"가 암호화됩니까? 비밀번호 나 URL 만?

"facebook", "youtube", "gmail"과 같은 " cribs "를 사용하여 깨질 수 있는지 궁금합니다 .

편집 : FirePassword / FireMaster의 저자에 따르면, 비밀번호와 로그인 만 암호화됩니다 :) http://securityxploded.com/firepassword.php

key3.db 파일에는 암호화 된 비밀번호 확인 문자열, 솔트, 알고리즘 및 버전 정보 등과 같은 마스터 비밀번호 관련 정보가 포함되어 있습니다.

Signons.txt 파일에는 실제 사인 온 정보가 포함되어 있습니다. 거부 호스트 목록 : 사용자가 Firefox에서 자격 증명을 기억하지 못하게하는 웹 사이트 목록. 일반 호스트 목록 : 각 호스트 URL 뒤에 사용자 이름과 비밀번호가 있습니다.


0

Clipperz 라는 훌륭한 온라인 암호 관리자가 있습니다 . 어느 컴퓨터에서나 암호에 액세스 할 수있는 것이 좋습니다. 자체 호스팅 제공 업체에서 소프트웨어를 호스팅 할 수도 있습니다. Firefox의 암호 관리자만큼 편리하지는 않지만 암호에 액세스하려면 로그인해야하지만 인터넷 연결이있는 곳 어디에서나 암호를 가질 수 있기 때문에 정말 편리합니다.


0

대신 LastPass 를 사용하는 것이 좋습니다 . Firefox 비밀번호 관리자는 다른 것보다 낫지 만 마스터 비밀번호를 사용하더라도 실제로 그렇게 안전하지는 않습니다.

여러 브라우저와 PC에서 비밀번호를 공유하려면 LastPass]를 사용하여 비밀번호를 안전하게 공유하면서도 안전하게 공유 할 수있는 훌륭한 방법을 찾아보십시오.

또한 기술을 자세히 설명하므로 암호를 정확히 보호하는 방법을 확인할 수 있습니다. 유일한 단점은 암호를 암호화하고 해독하기 위해 자바 스크립트를 사용해야하기 때문입니다.


6
왜 "마스터 비밀번호로도 파이어 폭스 비밀번호 관리자 [...]가 그다지 안전하지 않다"고 말한 이유를 설명해주세요.
Josh

0

암호화, 비밀번호 또는 URL을 묻는 사람들은 제시된 솔루션 중 어느 것도 URL을 암호화하지 않습니다.

사이트 로그인 양식에서 "로그인 상태 유지"확인란을 선택하여 브라우저가 사이트에 로그인 한 경우 문제가 시작됩니다. 세션은 며칠, 심지어 몇 주 동안 열려 있습니다. 컴퓨터가 악성 코드를 물려 받으면 악성 코드가 사이트에 튀어 나와 악행 일 수 있습니다.

다른 주제로는, 예를 들어 파이어 폭스 비밀번호 관리자에 설정된 페이팔 비밀번호도 있습니다. 이제 CC 계정을 비우기 위해 맬웨어를 기다리고 있습니다. 파이어 폭스에 페이팔 / 아마존 암호를 설정 한 사람은 거의 없었기 때문에 문제가되지 않았습니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.