it-swarm.com.de

Ist Firefox Lockwise sicher?

Ich habe viele Passwörter im Firefox Password Manager gespeichert, der jetzt Lockwise heißt. Ich habe kürzlich Opera Browser auf meinem Computer installiert. Es ist irgendwie gelungen, alle Verlaufsdaten und Formularfelder wie Benutzername und Kennwörter in die lokale Datenbank von Opera zu importieren. Soweit ich weiß, den Benutzernamen und Passwörter werden im Klartext über HTTPS an den Server gesendet, z. B. Yahoo-Mail. Opera muss die Anmeldeinformationen in den Formularfeldern im Klartext anwenden.

Also, wenn Opera die Passwörter bekommen kann, könnte jede andere schädliche Software es auch richtig machen?

Vermisse ich etwas Meine letzte Frage lautet also: Ist Lockwise von Mozilla Firefox wirklich sicher?

4
StackUnderflow

Standardmäßig verschlüsselt Firefox Ihre Kennwörter nur, wenn sie auf ihren Servern für die Synchronisierung zwischen Geräten gespeichert sind. Wenn Sie sie auch lokal verschlüsseln möchten, damit andere in Ihrem Benutzerprofil ausgeführte Prozesse sie nicht lesen können, müssen Sie in den Firefox-Einstellungen ein Hauptkennwort festlegen. Ich denke, dies muss immer noch auf jedem Gerät separat durchgeführt werden.

Dies ist ein seit langem bekannter Nachteil beim Speichern Ihrer Passwörter in jedem gängigen Browser. Sie alle wählen (ohnehin standardmäßig) Komfort statt Sicherheit und stellen die lokal gespeicherten Kennwörter jedem Prozess zur Verfügung, der in demselben Benutzerkonto auf dem lokalen Computer ausgeführt wird. Wenn Sie dies anders machen, muss der Benutzer jedes Mal ein Kennwort eingeben, wenn er den Browser startet (oder zumindest jedes Mal, wenn ein gespeichertes Kennwort verwendet wird), was meiner Meinung nach für den durchschnittlichen Benutzer zu schwierig ist.

1
Ben

Ich habe zwei große Bedenken mit Lockwise.

  1. Es erfolgt keine automatische Zeitüberschreitung/Abmeldung. Wenn ein Angreifer Zugriff auf Ihr Gerät erhält, erhält er auch Zugriff auf alle Ihre Kennwörter.

  2. In Lockwise gespeicherte Passwörter werden auch in Firefox gespeichert. Ein Hauptkennwort kann Firefox auf einem PC eine Sicherheitsebene hinzufügen, aber die mobile Version von Firefox verfügt nicht über diese Funktionalität. Daher erhält jeder, der Zugriff auf Ihr Firefox-Konto erhält, auch Zugriff auf Ihre Lockwise-Kennwörter, selbst wenn Sie über ein Kennwort verfügen Master-Passwort auf einem Ihrer Geräte eingerichtet. Das größte Problem besteht darin, dass beim Synchronisieren Ihres Firefox-Kontos mit Firefox auf einem mobilen Gerät dieses in Ihrem Firefox-Konto angemeldet bleibt, sodass alle Ihre Passwörter für alle Benutzer verfügbar sind, die auf Ihr Gerät zugreifen.

Weitere Untersuchung Ihrer Frage: https://medium.com/@JoeKreydt/how-secure-is-firefox-lockwise-password-manager-51d44dcf4dbc?sk=dc7b81811044ebc08e4a77eb6c2fa8fd

3
JoeKreydt

hier macht Lockwise:

PBKDF2 und HKDF mit SHA-256 zum Erstellen des Verschlüsselungsschlüssels aus dem Benutzernamen und dem Kennwort Ihres Firefox-Kontos.

Der Verschlüsselungsschlüssel wird also von Ihrem Firefox-Benutzernamen und -Kennwort abgeleitet. Da Ihre Anmeldeinformationen zwischengespeichert werden, um zu verhindern, dass Sie sich bei jeder Verwendung von Lockwise anmelden, konnte Opera vermutlich mit diesen zwischengespeicherten Anmeldeinformationen auf Ihre Datenbank zugreifen - wie es ein Angreifer wäre. Wenn Lockwise dies nicht tut Sie benötigen Ihr Kennwort, ein harmloses oder schädliches Programm auch nicht, insbesondere wenn die Anmeldeinformationen auf Dateiebene zwischengespeichert werden. Es ist so, als würden Sie eine Datei verschlüsseln und das Kennwort direkt daneben speichern.

In diesem Fall kann ein Kennwortmanager, der gesperrt werden kann oder häufiger gesperrt wird, die entschlüsselten Daten aus dem Speicher entfernt und das Hauptkennwort beim Entsperren der Datenbank erneut benötigt. Dies ist möglicherweise eine sicherere Option.

Ob das eine oder das andere "sicher" ist, hängt im Kontext von der Art der Bedrohung ab, gegen die Sie sich schützen möchten. Sie können nur in Bezug auf bestimmte Bedrohungen sicher sein. Eine vorhandene Route zum direkten und programmgesteuerten Entschlüsseln einer Kennwortdatenbank auf Ihrem lokalen System bietet jedoch mehr Angriffsfläche als eine, für die Sie manuell ein Hauptkennwort eingeben müssen.

1
ig-dev

Ob es "sicher" ist, hängt von Ihrer Analyse ab. Lockwise Cloud Storage scheint sicher zu sein.

Die Frage, ob Daten vor anderen Programmen geschützt werden sollen, wird in den Medien und in Diskussionen häufig gestellt.

Es gibt Hauptgedankensrichtungen:

  • Eine, die häufig von Dritten geebnet wird, ist, dass der Zugang so schwierig wie möglich sein sollte. Daher sollten Daten lokal verschlüsselt und so weit wie möglich gesperrt werden.
  • Zum anderen gibt es keine Verteidigung gegen einen Angreifer, der sowieso Zugriff auf Ihr Konto hat. Daher ist es nicht sinnvoll, große Anstrengungen gegen Angriffe anderer Programme in Ihrem Konto zu unternehmen.

Große Browser-Anbieter entscheiden sich meistens für Letzteres. Vermutlich auch mit der Idee, dass, wenn Sie die Passwortverwaltung vereinfachen, mehr Menschen sie verwenden werden - und dies insgesamt einen größeren Sicherheitsvorteil darstellt.

Kennwortmanager von Drittanbietern ergreifen häufig zusätzliche Maßnahmen zum Schutz der lokalen Daten, was den Endbenutzer zusätzlich belastet. Die Passwortverwaltung ist immer ein Kompromiss zwischen Komfort und Sicherheit. und am Ende des Tages ist es viel besser, einen einigermaßen sicheren Passwort-Manager zu verwenden, als einen supersicheren und keinen.

Bei Lockwise können Sie den lokalen Speicher ein wenig "sichern", indem Sie ein Hauptkennwort festlegen.

Keiner der Ansätze ist jedoch von Natur aus "schlecht".

1
averell

Ja, es ist sicher. Wenn Ihr System so stark kompromittiert wurde, dass Malware die Kennwortdatenbankdatei lesen und Ihr Hauptkennwort irgendwie stehlen konnte, konnte dieselbe Malware auch dann das Kennwort jeder Site lesen, wenn Sie sie eingaben.