फ़ायरफ़ॉक्स पासवर्ड मैनेजर कितना सुरक्षित है?

मैं लंबे समय से फ़ायरफ़ॉक्स पासवर्ड मैनेजर का उपयोग कर रहा हूं, लेकिन यह कभी भी जाँच / सत्यापित नहीं किया गया कि यह कितना सुरक्षित है।

निम्नलिखित पोस्ट इसे लक्ससी डॉट कॉम ब्लॉग से सबसे अच्छा है

जब मास्टर पासवर्ड उपयोग में होते हैं, तो डेटा को डिफ़ॉल्ट रूप से सीबीसी मोड में 3DES का उपयोग करके एन्क्रिप्ट किया जाता है । यदि आप एक अच्छा, मजबूत मास्टर पासवर्ड चुनते हैं, तो एन्क्रिप्शन का यह स्तर ठीक होना चाहिए। 3DES को 2020 तक सामान्य उपयोग के लिए अच्छा माना गया है ।

आपको पता होना चाहिए कि सहेजे गए पासवर्ड को खोलने के लिए डिज़ाइन किए गए प्रोग्राम हैं। ऐसा ही एक कार्यक्रम है फायरमास्टर । यदि आप एक मजबूत मास्टर पासवर्ड नहीं चुनते हैं, तो आपका एन्क्रिप्ट किया गया डेटाबेस टूट जाने की आशंका हो सकती है

यदि आप एक मैक ओएस एक्स उपयोगकर्ता हैं, तो एक विचार यह है कि यह ओएस-स्तर "कीचेन" (पासवर्ड प्रबंधन) के साथ एकीकृत नहीं है। यदि आप इस स्तर पर एकीकृत एक मोज़िला / गेको ब्राउज़र चाहते हैं तो आप कैमिनो का उपयोग कर सकते हैं।

यह शायद एक पक्षपातपूर्ण व्यक्तिगत राय है।

मुझे लगता है कि किसी भी प्रणाली में पासवर्ड भंडारण को एकीकृत करना जो कई अन्य सुविधाएं प्रदान करता है, उनकी सुरक्षा को उस प्रणाली में संभावित कमजोरियों के लिए कमजोर करता है। संयुक्त प्रणाली के अन्य भाग सुरक्षा श्रृंखला में कमजोर लिंक बनाते हैं। यह एक गैर-मानक प्रणाली ( इस लिंक पर निष्कर्ष पढ़ें ) का उपयोग करने में भी मदद करता है ।

उस अंत तक, मैं उन्हें TrueCrypt एन्क्रिप्टेड फ़ाइल में संग्रहीत करना पसंद करता हूं ।

कुछ अन्य चर्चाएँ,

• फ़ायरफ़ॉक्स पासवर्ड मैनेजर में होल्स रेमेन ओपन , 20 जुलाई, 2007।
• LastBit FireFox Password Recovery 1.0
  मैं इस भाग को पसंद करता हूं, " कृपया ध्यान दें कि केवल सहेजे गए पासवर्ड फायरफॉक्स पासवर्ड द्वारा दिखाए जाएंगे। यदि उपयोगकर्ता ने पासवर्ड दर्ज किया है, लेकिन इसे सहेजा नहीं है, तो पासवर्ड नहीं दिखाया जाएगा। "
• पासवर्ड मैनेजर शूटआउट - eWallet बनाम KeePass बनाम LastPass , LastPass का पक्षधर है

मैंने लास्टपास की कोशिश की है और मेरी राय में यह एक अंतर्निहित कमजोरी है। अर्थात्, हालांकि इसमें एक वर्चुअल कीबोर्ड है, यह केवल आपके लास्टपास वॉल्ट को खोलता है। न केवल यह उन साइटों को प्रदर्शित कर रहा है जिनके लिए आपके पास पासवर्ड हैं (ठीक पासवर्ड स्वयं 'छिपे हुए हैं'), लेकिन हर बार जब आप किसी साइट में लॉगिन करना चाहते हैं, तो आपको मास्टर पासवर्ड दर्ज करने की आवश्यकता होती है जिसके लिए कोई वर्चुअल कीबोर्ड नहीं है।

मैंने एक कीगलर टेस्ट चलाया और इसने मेरे पासवर्ड को इस तरह से इंटरसेप्ट किया। इसलिए अब हैकर की न केवल एक साइट पर बल्कि मेरी तिजोरी यानी मेरे सभी लॉगिन तक पहुंच है। अब आप 'पासवर्ड प्रॉम्प्ट की आवश्यकता' को अक्षम कर सकते हैं, इसलिए आप केवल एक बार वर्चुअल कीबोर्ड के माध्यम से अपना पासवर्ड दर्ज करेंगे और प्रत्येक लॉगिन पर नहीं।

मेरे पास यह समस्या है कि आपके ब्राउज़र में लास्टपास काम करता है, एक हैकर आपके मास्टर पासवर्ड को जाने बिना साइट पर लॉग इन कर सकता है क्योंकि यह प्रभावी रूप से खुला है। LastPass को RoboForm या Kaspersky Password Manager के समान वर्चुअल कीबोर्ड नियोजित करने की आवश्यकता है।

फ़ायरफ़ॉक्स और अधिकांश अन्य पासवर्ड मैनेजर एक समान दोष से पीड़ित हैं, असुरक्षित तरीके से मास्टर पासवर्ड का प्रवेश।

"डेटा" क्या एन्क्रिप्ट किया गया है? बस पासवर्ड, या यूआरएल भी?

मुझे आश्चर्य है कि अगर इसे "फेसबुक", "यूट्यूब", "जीमेल" जैसे " क्रिब्स " का उपयोग करके तोड़ा जा सकता है ...

EDIT: फायरपासवर्ड / फायरमास्टर के लेखक के अनुसार, केवल पासवर्ड और लॉग इन एन्क्रिप्ट किए गए हैं :) http://securityxploded.com/firepassword.php

Key3.db फ़ाइल में मास्टर पासवर्ड संबंधित जानकारी जैसे एन्क्रिप्टेड पासवर्ड चेक स्ट्रिंग, नमक, एल्गोरिथ्म और संस्करण जानकारी आदि शामिल हैं।

Signons.txt फ़ाइल में वास्तविक साइन-ऑन जानकारी शामिल है सूची को अस्वीकार करें: उन वेबसाइटों की सूची जिनके लिए उपयोगकर्ता नहीं चाहता कि फ़ायरफ़ॉक्स को क्रेडेंशियल्स याद रहें। सामान्य होस्ट सूची: प्रत्येक होस्ट URL के बाद उपयोगकर्ता नाम और पासवर्ड होता है।

एक महान ऑनलाइन पासवर्ड प्रबंधक है जिसे क्लिपरज़ कहा जाता है । यह किसी भी कंप्यूटर से आपके पासवर्ड तक पहुँचने में सक्षम होने के लिए बहुत अच्छा है। आप सॉफ्टवेयर को अपने होस्टिंग प्रदाता पर भी होस्ट कर सकते हैं। यह फ़ायरफ़ॉक्स के पासवर्ड मैनेजर के रूप में सुविधाजनक नहीं है क्योंकि आपके पासवर्ड तक पहुंचने के लिए आपको लॉग इन करना पड़ता है, लेकिन आपके पासवर्ड की क्षमता के लिए जहां कभी इंटरनेट कनेक्शन होता है वह वास्तव में मेरे लिए बहुत आसान है।

मैं इसके बजाय लास्टपास का उपयोग करने की दृढ़ता से सलाह देता हूं । फ़ायरफ़ॉक्स पासवर्ड मैनेजर कुछ भी नहीं से बेहतर है, लेकिन एक मास्टर पासवर्ड के साथ भी, यह वास्तव में सुरक्षित नहीं है।

यदि आप भी अपने पासवर्ड को कई ब्राउज़रों और पीसी में साझा करना चाहते हैं, तो LastPass दें] एक कोशिश करें क्योंकि उन्हें अपने पासवर्ड को साझा करने के दौरान वास्तव में एक शानदार और सुरक्षित तरीका मिला, जबकि उन्हें सुरक्षित रखें।

वे अपनी तकनीक के बारे में भी विस्तार से बताते हैं, जिससे आप जांच सकते हैं कि वे पासवर्ड की सुरक्षा कैसे कर रहे हैं। एकमात्र "नकारात्मक पक्ष": आपको जावास्क्रिप्ट का उपयोग करना होगा, क्योंकि वे इसका उपयोग आपके पासवर्ड को एन्क्रिप्ट और डिक्रिप्ट करने के लिए करते हैं।

यह पूछने के लिए कि क्या एन्क्रिप्ट किया गया है, पासवर्ड या भी यूआरएल है, प्रस्तुत समाधानों में से किसी में भी यूआरएल एन्क्रिप्टेड नहीं हैं।

समस्या तब शुरू होती है जब ब्राउज़र साइट पर लॉग इन किया गया है, जिसमें साइट लॉगिन फॉर्म में चयनित "इन लॉग इन" चेकबॉक्स है। सत्र दिनों, यहां तक ​​कि हफ्तों तक खुला रहता है। यदि कंप्यूटर को मालवेयर विरासत में मिला है तो मैलवेयर सिर्फ साइट में पॉप कर सकता है और खराब काम कर सकता है।

दूसरे विषय के लिए, मेरे पास फ़ायरफ़ॉक्स पासवर्ड मैनेजर में सेट किए गए पेपल पासवर्ड भी हैं। अब मैं बस अपने CC खाते को खाली करने के लिए मैलवेयर का इंतजार कर रहा हूं। यह संभवत: नहीं हुआ है क्योंकि कुछ अन्य लोगों के पास फ़ायरफ़ॉक्स में अपना पेपाल / अमेज़ॅन पासवर्ड सेट है।