Firefox chce zapamiętać hasło do banku

[Toni]

Po raz pierwszy zdarzyło mi się, że firefox chce zapamiętać moje hasło do banku. Przy prawie ostatnim zalogowaniu się nie zauważyłem, że nie wybrałem trybu prywatnego i takie zachowanie przeglądarki zwaliłem na winę tego, że użyłem przeglądarki w zwykłym trybie. Dziś jednak znów zalogowałem się do banku w trybie prywatnym i zauważyłem w pasku adresu symbol klucza - kliknąłem go i pojawiło się okienko które pojawiło się ostatnim razem - wpisany login i hasło. Zrobiłem backspace i dodatkowo wybrałem opcję aby trwale nie pytał. Za drugim logowaniem dzisiejszego dnia już nic nie było.Ani nie pojawił się symbol klucza ani nie pojawiło się samo pytanie. Sprawdziłem dodatkowo w ustawianiach listę zapisanych haseł - pusto.

I teraz pytanie - czy Firefox gwarantuje bezpieczeństwo zapisanych haseł? I czemu do tej pory nigdy nie pytał o zapisanie hasła przy logowaniu się do banku a teraz tak? Czy coś się zmieniło w polityce bezpieczeństwa Mozilli Firefox?  Czy to bezpieczne i czy przypadkiem twórców nie pojebało?

[tomcio]

FF domyślnie pyta – pod tym względem nic się nie zmieniło od bardzo dawna. Widocznie musiałeś kiedyś zmienić ustawienia, żeby zapamiętywało hasła albo przypadkiem kliknąłeś zapamiętaj. W trybie prywatnym nie powinno pytać, ale może korzystać z już zapamiętanych haseł. Niby zapewniają, że to jest bezpieczne – i jeśli chodzi o programową stronę, szyfrowanie itp. to im wierzę – ale domyślne ustawienia jeśli chodzi o dostęp nie są zbyt bezpieczne, wystarczy, że na chwilę odejdziesz od komputera. Warto je trochę usprawnić Przede wszystkim ustaw hasło główne. Warto też zmienić w about:config parametr security.ask_for_password z 0 na 1 lub 2 – wtedy o ile dobrze rozumiem będziesz pytany o hasło główne za każdym razem lub po upływie określonego czasu (parametr security.password_lifetime) zamiast tylko za pierwszym razem na całą sesję.

 

Ja imho z Firefox Lockwise nie korzystam – w kwestii haseł z zasady nie ufam czemuś, co ma opcję synchronizacji z chmurą nawet jeśli można tę opcję wyłączyć.

 

Mnie bardziej niepokoją same praktyki sklepów i banków – ostatnio parę razy miałem okazję robić zakupy i gdy przychodziło do płatności login do banku już miałem wpisany – mimo że nigdy nigdzie go nie zapisywałem. I to nie tylko w przeglądarce, również w Steamie – mimo że nie wychodziłem z samej aplikacji. Rozumiem, że chodzi o ułatwienie życia, ale moim zdaniem to już jest przesada. Login nawet mimo, że zwykle może być w miarę bezpiecznie pokazany publicznie to jakby nie patrzeć wciąż jest część moich prywatnych danych – więc wolałbym mieć nad tym kontrolę.

[SeeM]

Nic nie gwarantuje bezpieczeństwa przechowywanych haseł. Ja trzymam hasła jak najdalej od przeglądarki, używam dedykowanych i lokalnych aplikacji do haseł, które używają gpg do ich szyfrowana. Prawda, że trzeba przed zalogowaniem otworzyć terminal/okienko i to hasło skopiować, ale tak wolę. Mogę też używać różnych przeglądarek do różnych rzeczy, albo okien prywatnych i w ten sposób minimalizować ryzyko. No i niektóre hasła mają się nijak do przeglądarki: konta ftp, ssh i podobne.

[Toni]

No właśnie do tej pory nigdy mnie o zapamiętanie hasła na stronie mojego banku Firefox nie pytał.  I tak uważam powinno pozostać. Dlatego zdziwiłem się jak mnie zapytał. Jestem trochę paranoikiem na tym punkcie i wręcz zdenerwowało mnie to. W ustawieniach nigdy nic nie zmieniam. Chodzi mi o samo pytanie bo na szczęście jak zajrzałem do "Dane logowania i hasła" a następnie do "zachowane dane logowania" żadnego  hasła tam nie było. Właśnie dlatego, że wybrałem opcję by nie zapamiętywał. Ale serio to pierwszy raz jak Firefox się mnie o to pyta na stronie banku. Do tej pory nie pytał i nie zapamiętywał.

[@sunrise]

22 minuty temu, Toni napisał:

No właśnie do tej pory nigdy mnie o zapamiętanie hasła na stronie mojego banku Firefox nie pytał. 

To generalnie nie zależy od przeglądarki, tylko od tego jak jest napisana strona np https://online.mbank.pl/pl/Login nie zapamiętuje danych logowanie bo w swoim kodzie przy odpowiednich tagach ma:

autocomplete="off"

może twój ban pozmieniał coś na stranie, generalnie do haseł polecany jest (_menadżer_ → menedżer) ORT haseł w fedorze jest dostępny np. keepassxc, a dla przeglądarki jak chcesz jest odpowiedni plugin integrujący z keepassem.

https://niebezpiecznik.pl/post/keepass-jak-zaczac-swoja-przygode-z-managerem-hasel/

https://zaufanatrzeciastrona.pl/post/podstawy-bezpieczenstwa-menedzery-hasel-ktory-wybrac-i-jak-go-uzywac/

[Toni]

Dzięki za odpowiedzi. Odznaczyłem opcję "Pytanie o zachowywanie danych logowania do witryn". Teraz powinno być ok.