在过去,我会强调人们不应该选择记住密码选项,因为(除了你往往会忘记浏览器记住的内容)一个坏人可以显示密码(如果他知道如何)并在那里阅读,然后稍后使用它。
如今,可以使用主密码对密码进行加密,因此主要问题已经解决。
那么我应该使用该功能吗?
从好的方面来说,它有助于防止网络钓鱼,因为它会自动检查域名。
另外,我只是在想象,还是它也让攻击者的工作变得更加困难?(除非同时获取 Firefox 数据文件,否则简单的键盘记录器是不够的)
然后不利的一面是,如果有人在您登录游戏网站后立即走到您的计算机前,那么他们可能会提取您的银行密码,因为您的主密码仍在内存中,不是吗?
无论哪种方式,更深入的攻击同样能够获取数据,无论您采取哪条路线?
你在考虑缺点和好处方面非常彻底。
在 Firefox 或其他浏览器中使用主密码通常是可以接受的妥协。然而,没有无忧无虑的方法来处理密码。(方便与安全。)
较早的问题 Firefox 使用主密码时我的密码有多安全?给出了一些指导,它说:很可能是安全的,但我不会使用。
我的建议是相反的:如果你不记得很多难以记住的密码或密码短语,使用浏览器来记住(并且在某些情况下生成)你的密码可能是一个很好的折衷方案。
就银行业务而言:许多银行使用两因素身份验证(例如 ID、密码 + 一次性密码列表中的号码)。我不使用银行/经纪人/等。这允许仅使用 ID + 密码使用它们,因为这样的身份验证信息太容易泄露。
无论如何,如果有高安全性密码,我会记住它们。
在键盘记录器的情况下,主密码并不能完全保护它们,因为键盘记录器将记录主密码。
如果您可以记住您使用的每个站点的唯一密码,每个密码都具有非常大的熵,那么它比记住的密码更好(除了针对键盘记录器)。
然而,在实践中,站点密码如此之多,几乎不可能为每个密码都选择一个非常好的密码。
密钥库允许您使用主密码来存储大量密码。您只需要一个好的密码,而不是许多好的密码。这个密码据说更容易记住,因为它经常需要。由于要记住的密码更少,人们可以使用更复杂的密码作为主密码。
Firefox(和 Safari 等)等一些应用程序允许您在设备之间同步密码。这样的服务非常方便。由于同步通常要经过相当多的服务器,所有能看到流量的人都可能会尝试恢复您的密码。至少能够破解您的主通行证的各方最有可能访问您的所有密码。
Firefox 主密码是一个很好的功能,正如您所指出的,它有助于节省在每个网站上输入每个密码的时间。有数据文件可以获取该密码,您保存的密码已用它们加密。
在回答您关于密码在内存中的问题时,它将一直保留在内存中,直到您重新启动 Firefox AFAIK,但是,如果有人试图访问您保存的密码,即使它已经在内存中,您也会再次收到提示,因为您可以测试,就访问网站而言,是的,如果您在其中保存了凭据,它仍然可以访问,尽管没有主密码就无法检索任何密码,这就是实施它的原因。
虽然这是一个很好的功能,但我个人建议使用LastPass。
它是一个广为人知的用于存储和保持密码“更安全”的管理器,它还具有适用于不同浏览器的插件,包括我使用的 Firefox。它还可以生成具有不同选项和您想要的字符数的“随机安全”密码。在我看来,这是保护密码最安全的方法,而且设置起来也很简单。它具有许多功能,包括扫描您的密码并根据多种因素在 0 到 100 之间的记分板上显示它们的安全性,并建议您如何改进它们。
只要您保护该站点的密码或使用它提供的其他可能的身份验证方式,包括指纹和读卡器身份验证,您当然必须拥有读卡器设备。
掌握密码并在您的计算机上对它们进行比操作系统已经提供的更进一步的加密表明这只不过是安全剧院。尽管它很方便,但它仍然会导致危险的做法,甚至更糟糕的是更容易忘记密码。
一个很好的引述为什么 Chrome 不使用主密码,即使它已经在你的用户区域加密了它们:
我是 Chrome 浏览器安全技术负责人,所以如果我在这里解释我们的推理可能会有所帮助。密码存储的唯一强权限边界是操作系统用户帐户。因此,Chrome 会使用系统提供的任何加密存储来确保您的密码对于锁定帐户的安全。然而,除此之外,我们发现操作系统用户帐户内的边界并不可靠,而且大多只是剧院。
考虑有人恶意访问您的帐户的情况。说坏人可以转储你所有的会话 cookie、获取你的历史记录、安装恶意扩展来拦截你的所有浏览活动,或者安装操作系统用户帐户级别的监控软件。我的观点是,一旦坏人访问了您的帐户,游戏就失败了,因为有太多的向量让他无法获得他想要的东西。
我们也被反复询问为什么我们不只支持主密码或类似的东西,即使我们不相信它有效。我们一遍又一遍地争论,但我们总是得出的结论是,我们不想给用户提供虚假的安全感,并鼓励冒险行为。我们想非常清楚,当您授予某人访问您的操作系统用户帐户的权限时,他们可以得到一切。因为实际上,这就是他们得到的。
这表明了一件事:您试图在信息链的错误末端保护您的信息。确保您的操作系统和计算机是安全的。这将比在您用于浏览网络的同一台机器上的静态存储中加密您的密码更进一步。
如果您想存储您的密码,请将它们加密存储在另一台未连接任何设备的机器中。这样,如果您的系统被控制,您仍然是安全的。
这类似于仅仅因为我不是管理员而说我是安全用户。不,你真的不是。你的先入为主的观念还是错误的。仅仅因为你认为它是,并不意味着它是。
好的,无论如何您决定继续进行下去,并且您的问题中已经列出了一份不错的专业人士列表。现在让我们看看缺点。
- 更容易忘记您的其他密码
您不再真正记住它们,只是一个主密码。人类是习惯的动物,这种习惯会用坏习惯覆盖你的美好记忆。
- 传播冒险行为和懒惰的思维
这不会使您的计算机或网络浏览器安全。完全没有。它只会给人一种虚假的安全感,并有助于防止您被网络钓鱼。然而,针对网络钓鱼的唯一真正防御措施是不被网络钓鱼并确保您不访问您不信任的网站。
- 当有人可以访问您存储的密码时,您已经失去了
这真的只是为了强调上面所说的。说真的,这对提高安全性没有任何帮助。
如何避免这种情况并实际确保您的密码安全且可恢复:
在未联网的计算机上,制作一个包含密码副本的加密文件,并使用强密码对其进行密码保护。然后将其关闭。除了需要恢复密码时,切勿将其用于任何其他用途。
TL;DR:是的,它可能会提高安全性,但使用“真正的”密码管理器可以做得更好。
长版:
Firefox 的“记住密码”与主密码相结合,相当于基于云的密码管理器,具有出色的浏览器集成、本地加密和自动同步功能,但几乎没有其他功能。这就是我这么说的原因:
Firefox Sync 将您的密码存储在 Mozilla 服务器上,但不会以明文形式存储它们。它们使用从您的 Firefox Sync 密码派生的密钥在本地加密;Mozilla 服务器永远不会得到明文密码。当您在另一台设备上登录 Firefox 时,您的加密密码会被下载并在本地解密。这类似于流行的基于云的密码管理器,如 LastPass。
由于您的密码在发送到服务器之前已在本地加密,因此 Mozilla 无法访问它们。因此,当您忘记 Firefox Sync 密码时,您会丢失存储在 Mozilla 服务器上的所有数据,因此您最好希望您仍然拥有本地副本。同样,这与任何好的密码管理器都是一致的。
Firefox 的不同之处在于,它的密码实际上默认以未加密的形式存储在本地。这就是主密码的用武之地。与同步密码一样,主密码永远不会到达 Mozilla。它仅在本地使用,用于解密本地数据以供使用。有人担心用于主密码的 PBKDF 不如用于同步密码的强,因此它可能容易受到字典攻击;但是一个强大的、随机生成的密码或密码应该弥补这一点。
主密码还会加密保存的 Firefox 同步凭据,因此您仍然只需要输入一个密码即可访问 Firefox 中的所有密码管理器功能,即使在后台同步密码与主密码是分开的。但是,这确实意味着您需要在每台设备上单独设置主密码。主密码在设备之间不同步,仅用于本地加密数据。这使得 Firefox 的密码管理器功能比专用应用程序更容易搞砸。
现在,当我说它相当于云密码管理器时,这意味着几件事:
优点
缺点
您指出的一件大事是,当您离开时坐在您电脑前的人仍然可以查看您保存的密码,如果您让自己使用主密码登录 Firefox。这是大多数密码管理器可以通过锁定密码数据库的超时时间来缓解的缺点。Firefox的一些扩展可以做同样的事情。
那么,你应该使用它吗?
这完全取决于您,但我(以及比我聪明的人)当然建议使用密码管理器。我更喜欢功能更全面的密码管理器(特别是KeePass),但正确配置的 Firefox 具有强大的主密码和强大的同步密码应该可以完成这项工作。如果要在带有主密码的 Firefox 与根本没有密码管理器之间进行选择,我认为您应该选择 Firefox。它以智能方式加密所有数据,以防止任何人(包括 Mozilla!)在设备被盗或服务器遭到破坏的情况下获得它,但仍然提供了在任何地方轻松创建和使用强密码所需的便利。
但实际上,我认为您可以从“真正的”密码管理器中获得的功能,例如强密码生成、非浏览器密码、非密码数据的安全存储、将共享凭据的站点链接在一起、多浏览器支持等是值得的试试你是否愿意跳出浏览器。