Domanda Firefox e salvataggio password su sincronizzazione

[Cruise]

Chiedo ai più esperti, non mi sono mai fidato di trasmettere al cloud tutte le mie password, e gestisco sempre offline, compreso quelle salvate su Firefox. La sincronizzazione e quindi il salvataggio sui server della Mozilla, hanno un alto grado di sicurezza?
Ho letto che criptano offline per poi caricare, boh ditemi voi, ciao...

 

[DispatchCode]

Personalmente non le salverei sul browser. Non so come funziona quello di Mozilla, ma di norma le pwd è bene salvarsele altrove.
Tipo Bitwarden, se vuoi un password manager free. Io uso 1Password da qualche anno.

 

[Cruise]

No, di origine metto tutto su KeePass, e per fare prima che salvo anche le password su browser, per velocizzarne la compilazione.... Il tuo gestore password, compila anche il campo in automatico su browser?

 

[DispatchCode]

No, di origine metto tutto su KeePass, e per fare prima che salvo anche le password su browser, per velocizzarne la compilazione.... Il tuo gestore password, compila anche il campo in automatico su browser?

Certo, 1Password compila in automatico (anche 2FA, se è attiva). Si può disattivare volendo, ma di default è attiva se non erro.

 

[Cruise]

Ho provato ad installare per la compilazione automatica KeePassXC, con il plug-in per browser, ma in fase di creazione del database o ogni volta omesso L'url, quindi e quasi impossibile utilizzarlo. Adesso ho 2 database uno sul KeePass e uno sul Firefox (quello di deflaut), e sicuro il database di firefox anche impostando la password master che chiede ad ogni partenza? Potrei anche fidarmi a sincronizzare?

 

[TheWorm91]

Il discorso non è semplice, in teoria è sicuro usare Firefox per salvare le password.
Nella realtà dei fatti non potrai mai avere la sicurezza al 100% che non ci sia una falla di sicurezza su Firefox.
Ad ogni modo se vuoi stare più tranquillo attiva la 2FA su tutti i siti che te lo permettono e aggiorna frequentemente le password.

Ti consiglio questo tool per verificare la robustezza di una password:
https://www.uic.edu/apps/strong-password/

Un'altra tecnica potrebbe essere quella di salvare in un password manager (che sia online o offline non importa) soltanto una parte della password per poi completarla con la parte mancante al momento del login.
Con quest'ultimo metodo in caso di data breach del password manager l'attaccante otterrebbe solo una parte delle password che risulterebbero inutilizzabili.

 

[Cruise]

Facciamo chiarezza, questa e la politica di sicurezza di Firefox:

Sincronizzazione di Firefox​

Se è stato configurato un account Mozilla ed è stata attivata la funzione di sincronizzazione "Sync", i dati di accesso (nomi utente, password, hostname) vengono caricati crittati sui server di sincronizzazione di Mozilla. Questa crittografia assicura che i dati dell'utente siano memorizzati in un modo che impedisce anche a Mozilla di decrittarli.

Mi chiedevo se era sicuro, io utilizzo sempre una master-key che me la chiede alla partenza di firefox, perché sto decidendo se attivare la sincronizzazione di tutto il portachiavi, in alternativa ad ogni formattazione devo salvarmi il csv, con il rischio anche di perderlo...

 

[TheWorm91]

Questa crittografia assicura che i dati dell'utente siano memorizzati in un modo che impedisce anche a Mozilla di decrittarli.

Mi chiedevo se era sicuro, io utilizzo sempre una master-key che me la chiede alla partenza di firefox, perché sto decidendo se attivare la sincronizzazione di tutto il portachiavi, in alternativa ad ogni formattazione devo salvarmi il csv, con il rischio anche di perderlo...

Ad oggi molto probabilmente sono sicuri, domani chi lo sa?
Le vulnerabilità sono sempre dietro l'angolo.
Prendi ad esempio gli algoritmi di hashing come md5 che anni fa era considerato sicuro e adesso, con le potenze di calcolo sempre crescenti, non lo è più a causa delle collisioni.
Considera che stiamo parlando di un'organizzazione solida che si presume sia sempre aggiornata in tema sicurezza.

 

[Cruise]

capito, ottimo... ciao