Firefox 密码管理器和 Firefox 同步

信息安全 密码 火狐 浏览器扩展
2021-09-09 13:16:52

我刚刚从LastPass默认迁移Firefox Password ManagerFirefox Sync. Firefox Password Manager我对使用and有一些疑问Firefox Sync假设我不使用主密码:

  1. Firefox 插件可以访问并读取我保存的密码并以某种方式从我那里窃取它们(因此创建插件的人/人可以查看我的密码)?(例如我使用这个插件)
  2. Firefox 插件可以访问并读取我保存的密码Firefox Sync并以某种方式从我那里窃取它们(因此创建插件的人/人可以查看我的密码)?
  3. Firefox SyncLastPass考虑安全时更好?我可以信任他们的服务器吗?安全性如何Firefox Sync运作?
  4. 如果我不使用主密码,Firefox Password Manager是否有人窃取我的密码的唯一方法是访问我的文件系统,所以网站和插件在未经我许可的情况下都无法查看我的密码(请参阅 1. 和 2 .)?

谢谢

1个回答
  1. 显然,是的。插件可以访问保存的密码。您自己正在使用可以保存、读取和编辑密码的附加组件。我不太确定为什么这是您问题的一部分。无论如何,即使没有这种能力,插件也经常使用对网站内容的访问来执行相同的合法任务。从密码字段中抓取文本并不难。
  2. 是的。同步密码与其他保存的密码没有区别。它们都被保存到同一个地方,如果您打开该选项,它们都会同步。
  3. 据我所知,如果您使用主密码,安全模型大致相同。您在本地加密,因此任何闯入服务器的人都需要破解您的主密码才能读取任何登录凭据。如果没有主密码,Mozilla 仍会使用您的同步帐户密码加密您的密码,因此即使数据从 Mozilla 的服务器被盗,如果您的同步密码很强大,您的密码也应该是安全的。当然,如果入侵 Mozilla,他们将获得比密码更多的信息(例如同步书签、保存的浏览历史记录等)。我认为没有人真正有资格比较两者之间的安全实践,除非他们'已经对两者或其他东西进行了笔测试。至于用户安全,我认为 LastPass 支持 2 因素身份验证,因此如果您使用该功能,他们甚至可能在安全方面取得胜利。也就是说……LastPass 至少有两次我听说过的违规行为,而 Mozilla 没有我知道的。所以¯\_(ツ)_/¯。
  4. 从某种意义上说,是的,需要本地访问。考虑到上面讨论的加密,Mozilla 永远不会以可用的形式保存您的密码数据。但是,如上所述,本地访问可以是作为您的用户帐户运行的任何程序,或任何 Firefox 插件。使用主密码,Firefox 必须在输入主密码的情况下运行,否则您的主密码必须被键盘记录器窃取。如果没有主密码,您保存的密码可以随时被您设备上运行的程序读取。如果您的整个磁盘没有加密,并且您在丢弃设备时没有安全地擦除/销毁它,那么如果您不使用主密码,也可以从那里获取您保存的密码。您可能使用的任何磁盘备份存储也是如此。更常见的泄漏源是人们在尝试获得支持或备份他们的用户目录或其他东西时,不小心将它们与其他 Firefox 配置数据一起公开发布。所以我想这里的答案取决于你要防止什么。
其它你可能感兴趣的问题
上一篇如何限制应用程序可以对我的计算机执行的操作? 下一篇安全方面,使用蓝牙耳机安全吗?