Confío en Firefox para recordar mis contraseñas, usando una contraseña maestra de más de 25 caracteres. ¿Qué tan segura es esta configuración?
Confío en Firefox para recordar mis contraseñas, usando una contraseña maestra de más de 25 caracteres. ¿Qué tan segura es esta configuración?
En resumen: Firefox usa triple DES en modo CBC con la contraseña maestra.
Más detalles: el buen artículo sobre este tema está aquí: enlace y si desea más detalles, aquí está el artículo de mozillaZine: enlace . Este artículo le ofrece una comparación detallada entre los principales navegadores.
Se cree que es seguro almacenar contraseñas de esta manera, sin embargo, no confío en ningún software. Tal vez suene demasiado paranoico, pero nunca podemos saber dónde se esconde la vulnerabilidad.
Para responder "¿Qué tan seguras son mis contraseñas en las manos de Firefox usando una contraseña maestra?" Si Firefox tiene algún error explotable, entonces no es seguro sin importar cuánto cifrado esté envuelto alrededor de sus contraseñas. Si la pregunta hubiera empezado con "Asumir que Firefox es el navegador más seguro disponible en términos de vulnerabilidades e ignorar cualquier complemento ..." entonces estaría de acuerdo en que la respuesta puede ser irrelevante. Si se utiliza una interfaz de clic que no es susceptible al registro de pulsaciones de teclas, entonces las contraseñas pueden ser seguras incluso con un registrador de pulsaciones de teclas en el navegador. Si hay un "hombre en el navegador", se puede interceptar tecleando físicamente una contraseña y si Mozilla emula las pulsaciones de teclas, éstas también serían interceptadas. Si Firefox usa un acceso más directo a la memoria, todavía no me sorprendería si pudiera ser interceptado.
"Man-in-the-the-browser" no es un rootkit a nivel de máquina, sino a nivel de aplicación. Lo más común es AJAX malicioso, que puede escuchar fácilmente cada pulsación de tecla, es decir, AJAX 101. O podría ser un código binario malicioso inyectado de forma remota en el navegador o en un complemento.
Para mitigar el "hombre en el navegador", use varios perfiles de Firefox diferentes en banca, cuentas de correo electrónico, ClipperZ y otros o simplemente use Qubes-OS.
Si hay un rootkit de "sistema en la máquina" o de nivel de sistema, entonces todas sus contraseñas son propiedad sin importar si están almacenadas en KeePassX o ClipperZ o Firefox.
Firefox sync almacena sus contraseñas y las transfiere a otras computadoras sincronizadas, pero no las protege con su contraseña maestra.
Entonces, si un atacante puede abrir su navegador y activar la sincronización, luego se sincroniza con un perfil en su navegador, ¡sus contraseñas serán sincronizadas!
Lea otras preguntas en las etiquetas passwords web-browser encryption known-vulnerabilities client-side