我在 Firefox 密码管理器(现在称为 Lockwise)中保存了很多密码。我最近在我的机器上安装了 Opera 浏览器。它以某种方式设法将所有历史数据和表单字段(例如用户名和密码)导入 Opera 的本地数据库。据我了解,用户名和密码被发送到服务器,例如;Yahoo-Mail,通过 HTTPS 以明文形式显示。因此 Opera 必须以明文形式应用表单字段中的凭据信息。
因此,如果 Opera 可以获取密码,那么任何其他有害软件也可能得到它吗?
我错过了什么吗?所以我的最后一个问题是;Mozilla Firefox 的 Lockwise 真的可以保存吗?
我对 Lockwise 有两大担忧。
它不会自动超时/注销,因此如果攻击者访问您的设备,他/她也可以访问您的所有密码。
存储在 Lockwise 中的密码也存储在 Firefox 中。主密码可以为 PC 上的 Firefox 添加一层安全保护,但移动版 Firefox 没有此功能,因此任何可以访问您的 Firefox 帐户的人也可以访问您的 Lockwise 密码,即使您拥有在您的一台设备上设置主密码。最大的问题是,当您将您的 Firefox 帐户同步到移动设备上的 Firefox 时,它会保持登录到您的 Firefox 帐户,因此您的所有密码都可供任何进入您设备的人使用。
进一步探索您的问题: https: //support.mozilla.org/en-US/questions/1298736
默认情况下,Firefox 仅在存储在其服务器上以在设备之间同步时加密您的密码。如果您还想在本地加密它们,以便在您的用户配置文件中运行的其他进程无法读取它们,那么您需要在 Firefox 设置中设置主密码。我认为这仍然需要在每台设备上单独完成。
这是将密码存储在任何主要浏览器中的一个长期存在的众所周知的缺点。他们都(无论如何默认情况下)选择方便而不是安全,并使本地存储的密码可以轻松地用于在本地计算机上以相同用户帐户运行的任何进程。做不同的事情需要用户在每次启动浏览器时输入密码(或者至少每次使用任何记住的密码时),我猜这对普通用户来说太麻烦了。
“安全”一词取决于您的分析。Lockwise 云存储似乎是安全的。
是否应该保护数据免受其他程序的影响是媒体和在线讨论中经常出现的问题。
主要有两种思想流派:
主要的浏览器供应商大多选择后者。据推测,如果您使密码管理更容易,那么更多的人将使用它 - 这将是一个更大的安全优势。
第三方密码管理器通常会采取额外措施来保护本地数据,但代价是给最终用户带来额外的麻烦。密码管理始终是便利性和安全性之间的权衡;归根结底,使用一个相当安全的密码管理器比拥有一个超级安全的密码管理器而不使用它要好得多。
在 Lockwise 中,您可以通过设置主密码来稍微“保护”本地存储。
不过,没有一种方法本质上是“坏的”。
这是 Lockwise 所做的:
使用 SHA-256 的 PBKDF2 和 HKDF 从您的 Firefox 帐户用户名和密码创建加密密钥。
因此,加密密钥是从您的 Firefox 用户名和密码派生而来的。由于您的凭据被缓存以防止您在每次使用 Lockwise 时登录,因此 Opera 可能能够使用这些缓存的凭据访问您的数据库 - 就像攻击者一样。如果 Lockwise 不需要您的密码,那么良性或恶意程序也不需要,尤其是当凭据缓存在文件级别时。这就像加密文件并将密码存储在它旁边。
在这种情况下,可以锁定或更频繁地锁定的密码管理器,然后从内存中删除解密的数据,并在解锁数据库时重新要求主密码可能是更安全的选择。
一个或另一个是否“安全”取决于您要防范的威胁类型。它们只能在特定威胁方面是安全的。尽管如此,与需要手动输入主密码的方法相比,在本地系统上直接以编程方式解密密码数据库的现有方法提供了更多的攻击面。