it-swarm.com.de

Ist Firefox Password Manager weniger sicher als LastPass?

Nach der Installation des LastPass-Kennwortmanagers wird ein Anmeldedialogfeld mit der Option "Unsicheren Firefox-Kennwortmanager deaktivieren" angezeigt.

(Diese Option wird angezeigt, solange der Firefox-Kennwortmanager aktiviert ist, unabhängig davon, ob ein Hauptkennwort verwendet wird oder nicht.)

LastPass login screen

Ist Firefox für dieselben Aufgaben unter demselben impliziten Bedrohungsmodell weniger sicher als LastPass?

Wichtig: Für einen Vergleich von Äpfeln zu Äpfeln würde dies bedeuten, LastPass zu vergleichen mit:

  1. Firefox Password Manager (lokaler Speicher)
  2. mit Hauptkennwort (lokale Verschlüsselung/Sicherheit)
  3. und Firefox Sync (Remotespeicherung, Verschlüsselung/Sicherheit und Gerätesynchronisation)

( nicht LastPass mit nicht synchronisiertem Firefox ohne Master-Passwort vergleichen). Ich gehe davon aus, dass das Bedrohungsmodell so etwas wie die tägliche Verwendung des Browsers ist, einschließlich der Eingabe von Passwörtern für das Online-Banking usw. sowie des Speicherns und Teilens von Anmeldeinformationen zwischen Browser-Installationen auf verschiedenen Computern, die Sie besitzen.)

(Meine ersten Untersuchungen haben Beschwerden und Schwachstellen in alten (Pre-Sync) Versionen von Firefox aufgedeckt, einschließlich Verwirrung darüber, welche Anmeldekomponenten verschlüsselt sind und welche nicht, Vorschläge, die neue Synchronisierung ist - "Zero-Knowledge" (aber keine Klarstellung darüber, was lokal im Klartext gespeichert ist), behauptet, dass LastPass JavaScript für die Verschlüsselung verwendet und daher von Natur aus unsicher und, was am verwirrendsten ist, die Billigung von LastPass von Mozilla ist.)

23
david.libremone

Meiner Meinung nach bezieht sich Lastpass auf den Firefox-Passwort-Manager, der unsicher ist, wenn der Benutzer kein Master-Passwort für Firefox verwendet. Das wird kein Vergleich von Äpfeln zu Äpfeln sein.

Firefox verwendet 3DES zum Speichern von Kennwörtern. Falls das Hauptkennwort nicht festgelegt ist, wird null ("") verwendet, was mit Sicherheit unsicher ist. Weitere Informationen dazu, wie Chrome, IE und Firefox Passwörter speichern) finden Sie in diesem ausgezeichneter Artikel .

Wenn das Hauptkennwort verwendet wird (und stark genug ist), ist es meines Erachtens nicht einfach, die Kennwörter zu knacken, da keine Implementierungsfehler vorliegen.

8
Jor-el

Das Kontrollkästchen im Screenshot bezieht sich auf den Firefix Password Manager ohne Hauptkennwort, obwohl es nicht aktiviert ist und in beiden Fällen funktioniert. Ich denke, die meisten Leute benutzen den Passwort-Manager in Firefox ohne Master-Passwort. Sie melden sich auf einer Website an, Firefox bietet an, das Passwort zu speichern, sie stimmen zu, und das war's. Dies ist der Anwendungsfall für die meisten Menschen, aber wahrscheinlich nicht für die Besucher dieser Website.

Wenn Lastpass diese Frage stellt, vereinfachen sie sich zu sehr, aber ich denke aus gutem Grund. Der "normale" Benutzer wird nicht verwirrt und kann dieses Kontrollkästchen aktivieren. Das Entfernen der Kennwörter aus dem ungeschützten Firefox-Kennwortmanager ist eine gute Idee, da Sie sich bereits für Lastpass entschieden haben.

Wie hier bereits beantwortet, ist die Verwendung eines Master-Passworts ziemlich sicher. Dann kommt es auf Funktionen und Risiken an, und beide haben Vor- und Nachteile. Die meisten Lastpass-Funktionen können mit Addons zum Firefox Password Manager hinzugefügt werden.

Ich habe beide verwendet, zuerst Firefox, dann Lastpass, dann wieder Firefox und jetzt Lastpass ... Der Grund, mich am Ende für Lastpass zu entscheiden, ist, dass mir klar wurde, dass ich schlampig geworden bin und all diese Funktionen an einem Ort es zu einem guten Geschäft machen. Wenn Sie der Upload-Funktion nicht vollständig vertrauen, verwenden Sie Keepass, um einige Passwörter offline zu halten.

1
SPRBRN