¿Es Firefox Password Manager menos seguro que LastPass?

18

Después de instalar el administrador de contraseñas LastPass, aparece un cuadro de diálogo de inicio de sesión que incluye la opción "Deshabilitar el Administrador de contraseñas inseguro de Firefox".

(Esta opción aparece siempre que el Administrador de contraseñas de Firefox esté habilitado, ya sea que se use o no una contraseña maestra)

¿FirefoxesmenosseguroqueLastPassparalasmismastareasbajoelmismomodelodeamenazaimplícito?

Importante:Paraunacomparacióndemanzanasconmanzanas,estosignificaríacompararLastPasscon:

  1. FirefoxPasswordManager(almacenamientolocal)
  2. conContraseñamaestra(encriptación/seguridadlocal)
  3. yFirefoxSync(almacenamientoremoto,cifrado/seguridadysincronizacióndedispositivos)

(nocomparandoLastPassconFirefoxnosincronizadosincontraseñamaestra).Supongoqueelmodelodeamenazaesalgocomoelusodiariodelnavegador,incluidalaintroduccióndecontraseñasparalabancaenlínea,etc.,yelalmacenamientoyelintercambiodecredencialesdeiniciodesesiónentrelasinstalacionesdelnavegadorendiferentesmáquinasqueposea.)

(Miinvestigacióninicialrevelaquejasyvulnerabilidadesenversionesantiguas(pre-Sync)deFirefox,incluidalaconfusiónsobrequécomponentesdeiniciodesesiónestáncifradosycuálesno,sugerenciasque new Sync es " zero-knowledge " (pero no hay aclaraciones sobre lo que se almacena en texto plano localmente), afirma que LastPass utiliza JavaScript para el cifrado y, por lo tanto, es inseguro y, lo que es más confuso, la aprobación de LastPass de Mozilla.)

    
pregunta d3vid 23.10.2014 - 15:54
fuente

3 respuestas

8

En mi opinión, Lastpass hace referencia al administrador de contraseñas de Firefox inseguro cuando el usuario no está utilizando una contraseña maestra para Firefox. Que no será una comparación de manzanas con manzanas.

Firefox usa 3DES para almacenar contraseñas y, en caso de que no se establezca la contraseña maestra, se usa null (""), lo que no es seguro. Para leer en detalle cómo Chrome, IE y Firefox almacenan las contraseñas, consulte esto excelente artículo .

Si se usa la contraseña maestra (y lo suficientemente sólida), no veo que sea fácil descifrar las contraseñas, dado que no hay errores de implementación.

    
respondido por el Jor-el 24.11.2014 - 10:44
fuente
1

La casilla de verificación en la captura de pantalla se refiere al Administrador de contraseñas de Firefix sin Contraseña maestra, aunque no se verifica y funciona en ambos casos. Supongo que la mayoría del tiempo la gente usa el administrador de contraseñas en Firefox sin la contraseña maestra. Ellos inician sesión en un sitio, Firefox ofrece almacenar la contraseña, están de acuerdo, y eso es todo. Este es el caso de uso para la mayoría de las personas, pero probablemente no para los visitantes de este sitio.

Entonces, cuando Lastpass hace esta pregunta, simplifican demasiado, pero supongo que con una buena razón. El usuario "normal" no se confundirá y puede marcar esta casilla. Eliminar las contraseñas del administrador de contraseñas no protegido de Firefox es una buena idea, ya que ya decidió usar Lastpass.

Como se responde aquí ya, cuando se usa una contraseña maestra, es bastante seguro. Luego se trata de características y riesgos, y ambos tienen ventajas y desventajas. La mayoría de las funciones de Lastpass se pueden agregar con complementos para Firefox Password Manager.

He usado ambos, primero Firefox, luego Lastpass, luego nuevamente Firefox y ahora Lastpass ... La razón para elegir Lastpass al final es porque me di cuenta de que me volví descuidado y todas esas características en un solo lugar hacen que sea un buen negocio. . Si no confía completamente en la función de carga, use Keepass para mantener algunas contraseñas fuera de línea.

    
respondido por el SPRBRN 24.11.2014 - 12:59
fuente
-2

Los 2 son diferentes.

El administrador de contraseñas incluido en su navegador generalmente almacena su contraseña en su sistema de archivos y los protege con su cuenta de sistema operativo. Por ejemplo, en Windows, si desea ver sus contraseñas guardadas, necesita ingresar sus credenciales de Windows.

Por otra parte, Lastpass almacena sus contraseñas en su servidor y las cifra con la contraseña maestra asociada a su cuenta de Lastpass.

Veamos los problemas de cada uno

Administrador de contraseñas del navegador : asume que su cuenta de sistema operativo es segura. Si alguien más conoce la contraseña de su cuenta del sistema operativo, puede robar toda la contraseña de su administrador. En Chrome, por ejemplo, parece que su contraseña está simplemente en texto sin formato en su sistema de archivos. Entonces, si dejas que tu sesión se abra y dejes tu computadora, cualquiera puede robar tu contraseña. Un administrador del sistema operativo probablemente puede hacerlo también ...

Pero con Firefox, tiene la opción de seleccionar una contraseña maestra para cifrar / descifrar su contraseña. Si selecciona esta opción, sus contraseñas deben ser seguras incluso si otra persona accede a su computadora.

Lastpass : se supone que usted es el único que conoce su contraseña maestra, lo que probablemente sea cierto. Por otro lado, si alguien es capaz de encontrar su contraseña maestra (tal vez al piratear en Lastpass), tendrá acceso a todas sus contraseñas.

Diría que ambas opciones son suficientemente buenas: Firefox con contraseña maestra y último paso.

Sobre el uso de javascript para codificar tu contraseña.

Yo diría que es principalmente un truco de LastPass para que te sientas más seguro, pero en realidad no es un problema. Una cita de ellos:

  

Todos los datos confidenciales se cifran y descifran localmente antes de la sincronización   con LastPass. Tu llave nunca abandona tu dispositivo, y nunca se comparte.   con LastPass. Sus datos permanecen accesibles solo para usted.

Afirman que es más seguro porque el último paso en sí mismo ni siquiera puede conocer su contraseña maestra, ya que nunca la recibirá. Pero en realidad, ya que controlan el javascript, ¿hace una gran diferencia si encripta / desencripta localmente o en su servidor? En general no. Podrían eliminar el javascript cuando quieran recibir su contraseña maestra directamente si lo desean.

Pero volviendo al javascript ... Cuando su página es segura, un atacante no puede modificar el javascript. Si su página era insegura, un atacante podría simplemente registrar todo lo que escribe y robar su contraseña maestra de todos modos. El uso de javascript para cifrar / descifrar es irrelevante aquí, solo debe preguntarse si su página es segura o no, y probablemente lo sea.

Pero, afirman que se salvó del ataque del corazón.

  

Sin embargo, LastPass es único porque sus datos también están cifrados con un   clave a la que los servidores LastPass no tienen acceso. Sus datos sensibles son   nunca se transmite a través de SSL sin cifrar, ya está cifrado cuando   Se transmite, con una clave que LastPass nunca recibe. Mientras este bicho   sigue siendo muy grave, no pudo exponer a los clientes de LastPass   Datos encriptados debido a nuestras capas extra de protección. En la mayoría   de la web, los datos del usuario no están encriptados antes de ser transmitidos a través de   SSL, de ahí la preocupación generalizada.

Source

    
respondido por el Gudradain 23.10.2014 - 16:55
fuente