¿Cómo guarda Firefox las contraseñas?
Las respuestas anteriores ya han presentado la idea general, pero se puede proporcionar una explicación más detallada.
Firefox almacena toda la información del usuario en la carpeta del perfil. En Windows, se encuentra debajo de %APPDATA%\Mozilla\Firefox\Profiles\
; y en Linux, ~/.mozilla/firefox/
.
La carpeta del perfil se crea la primera vez que se inicia Firefox para el usuario actual, y normalmente tiene un nombre "críptico", como y7ogrp85.default
en mi caso. Este nombre debe ser único.
Desde la versión 32 de Firefox, dos archivos que residen en la carpeta del perfil son responsables de administrar las contraseñas guardadas dentro del navegador. Son: logins.json y key3.db .
El primer archivo, logins.json , contiene información real, como una lista de nombres de usuario, contraseñas, nombres de dominio, etc. También incluye los sitios web en los que optó por NO guardar una contraseña. Sin embargo, estos están encriptados. Puedes comprobarlo por ti mismo.
El segundo archivo, key3.db , contiene la clave para descifrar la información confidencial que se encuentra en el archivo anterior, como los nombres de usuario y las contraseñas.
Ahora, esta implementación no es un secreto (después de todo, Firefox es de código abierto), y cualquiera puede desarrollar sus propios medios para obtener las contraseñas de alguien leyendo estos archivos. De hecho, ya se ha hecho. Hay una herramienta de Nirsoft llamada PasswordFox que hace eso.
Hay una posible advertencia, y es la posibilidad de que el usuario haya implementado una "Contraseña maestra" en Firefox; esto cifrará el archivo key3.db
. Pero también hay medios para evitarlo, forzando brutalmente el archivo con utilidades hechas para ese propósito, como John the Ripper y otros.
¿Es un error que está siendo explotado por Avast?
No, no es un error. Es exactamente la forma en que se ha diseñado el navegador (aunque no desde cero, ha evolucionado mucho desde las primeras versiones). Creo que es razonablemente conveniente y seguro. Mientras:
- Su sistema no está comprometido;
- Nadie en quien no confíe tiene acceso físico a su computadora, o incluso aún, acceso sin restricciones a sus archivos / su cuenta de usuario;
- Sus archivos están protegidos por Full Disk Encryption, en caso de que su PC sea robada,
deberías estar bien. En cualquier caso, do recomiendo establecer una "Contraseña maestra" segura o, mejor aún, cambiar a un administrador de contraseñas dedicado como KeePass.
Nota: No estoy conectado con Nirsoft, Firefox o KeePass. Solo soy un usuario.