Firefox密码管理器的安全性如何？

我已经使用Firefox密码管理器很长时间了，但是从未检查/验证它的安全性。

以下帖子从luxsci.com博客中总结出了最好的内容

使用主密码时，默认情况下，使用3DES在CBC模式下对数据进行加密。如果您选择了一个好的主密码，那么这种加密级别应该可以。3DES被评为在2020年之前具有通用性。

您应该知道，那里有一些旨在破解保存的密码的程序。FireMaster是这样的程序之一。如果您没有选择强主密码，则您的加密数据库可能容易被破解

如果您是Mac OS X用户，则要考虑的因素之一是它未与操作系统级别的“ KeyChain”（密码管理）集成在一起。如果要在此级别集成Mozilla / Gecko浏览器，可以使用Camino。

这可能是有偏见的个人意见。

我认为将密码存储集成到提供许多其他功能的任何系统中都会削弱其针对该系统中可能存在的漏洞的安全性。组合系统的其他部分形成了安全链中较弱的环节。它还有助于使用非标准系统（请阅读此链接的结论）。

为此，我更喜欢将它们存储在TrueCrypt加密文件中。

其他一些讨论，

• 漏洞仍在Firefox密码管理器中打开，2007年7月20日。
• LastBit FireFox Password Recovery 1.0
  我喜欢以下内容：“请注意，FireFox Password仅显示已保存的密码。如果用户输入了密码但未保存，则不会显示密码。 ”
• 密码管理器枪战– eWallet与KeePass与LastPass，支持 LastPass

我尝试过LastPass，但我认为它有一个固有的弱点。也就是说，尽管它具有虚拟键盘，但这只会打开您的LastPass库。这不仅会显示您拥有密码的站点（确定密码本身是“隐藏的”），而且每次您要登录到站点时，都需要输入没有虚拟键盘的主密码。

我运行了键盘记录程序测试，它会以这种方式拦截我的密码。因此，现在，黑客不仅可以访问一个站点，而且可以访问我的保管库，即我的所有登录名。现在，您可以禁用“要求密码提示”，因此您只能通过虚拟键盘输入一次密码，而不必在每次登录时输入密码。

我遇到的问题是，当LastPass在您的浏览器中工作时，黑客可以登录到一个站点而无需知道您的主密码，因为它实际上是开放的。LastPass需要使用类似于RoboForm或Kaspersky Password Manager的虚拟键盘。

Firefox和大多数其他密码管理器也遭受类似的错误，即以不安全的方式输入主密码。

哪些“数据”已加密？只是密码，还是网址？

我想知道是否可以使用“ facebook”，“ youtube”，“ gmail”等“ 婴儿床 ” 来破坏它...

编辑：根据FirePassword / FireMaster的作者，只有密码和登录名才被加密:) http://securityxploded.com/firepassword.php

key3.db文件包含与主密码有关的信息，例如加密的密码检查字符串，salt，算法和版本信息等。

Signons.txt文件包含实际的登录信息拒绝主机列表：用户不希望Firefox记住其凭据的网站列表。普通主机列表：每个主机URL后面都有用户名和密码。

有一个很棒的在线密码管理器，叫做Clipperz。能够从任何计算机访问您的密码非常好。您也可以在自己的托管服务提供商上托管软件。它不像Firefox的密码管理器那样方便，因为您必须登录才能访问密码，但是对于能够在有Internet连接的地方拥有密码的功能，这对我来说真的很方便。

我强烈建议改用LastPass。Firefox密码管理器总比没有强，但是即使使用主密码，它也不是那么安全。

如果您还想在多个浏览器和PC上共享密码，请尝试一下[LastPass]，因为它们确实找到了一种安全而又安全的方式来共享您的密码。

他们还详细解释了他们的技术，因此您可以检查他们如何保护密码。唯一的“缺点”：您必须使用javascript，因为它们使用javascript来加密和解密您的密码。

对于那些询问加密内容，密码或网址的人，在所提供的解决方案中均未对网址进行加密。

如果浏览器已经登录到站点，并且在站点登录表单上选中了“保持登录”复选框，则问题开始。该会议开放几天，甚至数周。如果计算机继承了恶意软件，则该恶意软件可能会突然进入该网站，这是一件坏事。

对于另一个主题，我也有一个，例如在firefox密码管理器中设置了贝宝密码。现在，我只是在等待恶意软件清空我的CC帐户。由于很少有人在firefox中设置了他们的paypal / amazon密码，因此可能没有发生。