In Firefox per desktop è presente un'opzione per utilizzare una "password principale" a protezione delle password salvate dall'utente. Quando si attiva la password principale, le password salvate dell'utente vengono criptate e non è possibile accedervi senza che venga digitata la password principale. Per ulteriori informazioni, leggere l'articolo Utilizzare una password principale per proteggere le password salvate.
Funzionamento della password principale con Sync
Quando si utilizza la sincronizzazione di Firefox ("Sync"), le credenziali del proprio account Mozilla (l'account utilizzato per accedere a Sync e precedentemente noto come "account Firefox") vengono memorizzate nel gestore delle password di Firefox assieme alle password salvate. La propria password principale deve essere inserita prima che Sync possa accedere al proprio account Mozilla, consentendo la sincronizzazione delle password salvate e di altri dati del browser tra i propri dispositivi.
Come vengono mantenute al sicuro le password
Quando si salvano le password dei siti web, queste vengono criptate per mezzo della password principale prima di essere memorizzate sul computer; una volta inserita la password principale, le password vengono poi decriptate e passate a Sync. Successivamente, tramite Sync, le password già decriptate vengono nuovamente criptate utilizzando uno schema di crittografia diverso (e migliore perché basato sulla password dell'account Firefox) prima di essere inviate ai server Sync per l'archiviazione. Le copie decriptate delle password dell'utente non vengono mai trasmesse sulla rete.
Sync esegue soltanto la crittografia delle password in linea e sui server Sync, mentre non esegue la crittografia delle password salvate sul dispositivo utilizzato (operazione che invece viene svolta esclusivamente dalla password principale). La password principale non viene sincronizzata tra dispositivi, quindi sugli altri dispositivi sincronizzati è possibile impostare una password diversa (o anche scegliere di non impostare alcuna password principale).
Qual è il funzionamento sui dispositivi Android e iOS?
Le versioni mobili di Firefox criptano localmente le password dell'utente, ma lo fanno affidandosi alla sicurezza integrata del dispositivo piuttosto che a una password principale. La password dell'account Mozilla è necessaria per connettersi a Sync in modo che ogni password possa essere nuovamente criptata e consentire agli altri dispositivi dell'utente di essere in grado di decriptare quelle password.