Administrador de contraseñas de Firefox y Firefox Sync

11

Acabo de migrar de LastPass a Firefox Password Manager y Firefox Sync predeterminados. Tengo algunas dudas sobre el uso de Firefox Password Manager y Firefox Sync . Supongamos que no uso una contraseña maestra:

  1. ¿Puede un complemento de Firefox acceder y leer mis contraseñas guardadas y de alguna manera robármelas (para que la persona / personas que crearon el complemento puedan ver mis contraseñas)? (por ejemplo, uso este complemento)
  2. ¿Puede un complemento de Firefox acceder y leer mis contraseñas guardadas con Firefox Sync y de alguna manera robármelas (para que la persona o personas que crearon el complemento puedan ver mis contraseñas)?
  3. ¿ Firefox Sync es mejor que LastPass al considerar la seguridad? ¿Puedo confiar en sus servidores? ¿Cómo funciona Firefox Sync security?
  4. Si no uso una contraseña maestra en Firefox Password Manager , ¿es cierto que la forma única de que alguien robe mis contraseñas es accediendo a mi sistema de archivos, por lo que tanto los sitios web como los complementos no pueden ¿Ver mis contraseñas sin mi permiso (consulte 1. y 2.)?

Gracias

    
pregunta Frank 14.08.2016 - 09:35
fuente

1 respuesta

5
  1. Obviamente, sí. Los complementos pueden acceder a las contraseñas guardadas. Usted mismo está utilizando un complemento que puede guardar, leer y editar contraseñas. No estoy realmente seguro de por qué esto es parte de tu pregunta. En cualquier caso, incluso sin esta capacidad, los complementos a menudo utilizan el acceso al contenido del sitio web para realizar la misma tarea legítima. No sería difícil también raspar el texto de los campos de contraseña.
  2. Sí. Las contraseñas sincronizadas no son diferentes de otras contraseñas guardadas. Todos se guardan en el mismo lugar y todos se sincronizan si activa la opción.
  3. Por lo que puedo decir, el modelo de seguridad es aproximadamente el mismo, si usa una contraseña maestra. Cifras localmente, por lo que cualquier persona que ingrese al servidor tendrá que romper tu contraseña maestra para leer las credenciales de inicio de sesión. Sin una contraseña maestra, Mozilla sigue encriptando sus contraseñas usando su contraseña de cuenta de sincronización , por lo tanto, incluso si se roban datos de los servidores de Mozilla, sus contraseñas deberían ser tan seguras, si su contraseña de sincronización es segura. Por supuesto, si entran en Mozilla, obtendrán mucho más. información que solo contraseñas (p. ej., marcadores sincronizados, historial de navegación guardado, etc.) No creo que nadie esté realmente calificado para comparar las prácticas de seguridad entre los dos, a menos que hayan hecho pruebas de pluma con ambos o algo. En cuanto a la seguridad del usuario, creo que LastPass es compatible con la autenticación de 2 factores, por lo que incluso pueden obtener el beneficio de la seguridad, si utiliza esa función. Dicho esto ... LastPass ha tenido al menos dos infracciones de las que he oído hablar, mientras que Mozilla no ha tenido ninguna que yo sepa. Entonces ¯ \ _ (ツ) _ / ¯.
  4. En cierto sentido, sí, se necesita acceso local. Teniendo en cuenta el cifrado descrito anteriormente, Mozilla nunca tiene sus datos de contraseña en forma utilizable. Pero el acceso local podría ser cualquier programa que se ejecute como su cuenta de usuario o cualquier complemento de Firefox, como se explicó anteriormente. Con una contraseña maestra, Firefox debe ejecutarse con su contraseña maestra ingresada, o su contraseña maestra debe ser robada con un registrador de claves. Sin una contraseña maestra, las contraseñas guardadas se pueden leer en cualquier momento por los programas que se ejecutan en su dispositivo. Si su disco completo no está cifrado, y no lo borra / destruye de forma segura cuando descarta su dispositivo, sus contraseñas guardadas se pueden obtener desde allí también si no usa una contraseña maestra. La misma historia para cualquier almacenamiento de respaldo en disco que pueda usar. Las fuentes más comunes de fugas son personas que accidentalmente las publican públicamente junto con sus otros datos de configuración de Firefox cuando intentan obtener asistencia o realizar una copia de seguridad de su directorio de usuarios o algo así. Así que supongo que la respuesta aquí depende de contra qué estás tratando de protegerte.
respondido por el Ben 14.08.2016 - 18:23
fuente

Lea otras preguntas en las etiquetas