使用 Firefox 内置密码管理器和同步功能进行同步是否安全?他们将我的密码保存在哪里以及如何保存?会有什么风险?
我应该使用 LastPass 吗?
答案1
Sync 更可靠,你不必担心 LastPass 会倒闭。另外,我对 LastPass 软件的体验不太好 - 我更喜欢 Firefox sync。
密码在发送到同步服务器之前会在浏览器中加密。如果您丢失了加密密钥(目前为 26 位数字),则无法获取密码。
您应该关心的是 Lastpass 10 年后是否还在营业,您的计算机上是否会感染读取键盘或硬盘的恶意软件,以及您是否在以后将密码同步到不安全的计算机上。
答案2
就我个人而言,我会改用 LastPass。它们提供双重身份验证,例如智能卡、网格系统、移动文本或 USBkey。它们还提供一次性密码(用于公共登录)。
他们还提供离线模式。它也更容易使用,甚至支持最奇怪的登录屏幕。
另一个方便的功能是共享登录名而不共享密码。
答案3
您提出了一个重要的观点。在我看来,Mozilla 选择将加密密钥派生和登录令牌都基于用于注册 Mozilla 身份帐户的用户密码,这削弱了整个方案。虽然从相同的信息生成这些令牌在加密上可能是安全的,但这取决于原始登录密码永远不会离开用户计算机的假设。但是,作为基于 Web 的登录,用户将不知情,可能会在网络钓鱼攻击中输入密码,或者可能会通过中间人或网站脚本注入攻击暴露密码。拥有攻击者的登录密码意味着他们有可能访问和解密保存在同步帐户中的用户密码。因此,WEB 登录密码绝不能用于数据加密。
旧版 Firefox 同步加密方案具有单独的登录和加密密钥,该方案在某些基于 Firefox 的浏览器中仍然可用,例如 PaleMoon。它具有非常强大的加密功能,但 Mozilla 开发人员认为这对用户来说太复杂了,难以处理和理解两个密码,因此改为使用当前方案。
当前方案存在上述缺陷,但其设计先进,理论上可使开发人员添加(可选的)第二个令牌,以在 Firefox 中派生出与 Mozilla 登录密码无关的加密密钥。然而,这必须实施。