Як переглянути збережені паролі у Firefox (комп’ютер і мобільний пристрій)

Вбудований менеджер паролів Firefox зберігає облікові дані локально у зашифрованій базі даних SQLite (logins.json та key4.db) у директорії вашого профілю Firefox. Щоб переглянути збережений пароль, введіть about:logins в адресному рядку, виберіть потрібний запис зі списку та натисніть значок ока поруч із полем пароля, щоб його відобразити. На мобільних пристроях відповідний шлях: Налаштування > Логіни та паролі > Збережені логіни.

Цей посібник охоплює всі методи доступу, керування та захисту облікових даних, збережених у Firefox — на комп’ютері (Windows, macOS, Linux), Android та iOS — включаючи базову архітектуру зберігання, шифрування основного пароля та випадки, коли вбудований менеджер Firefox є недостатнім для виробничих або багатокористувацьких середовищ.

Як Firefox зберігає паролі внутрішньо

Перш ніж переходити до кроків у інтерфейсі, розуміння рівня зберігання допоможе вам приймати обґрунтовані рішення щодо безпеки.

Firefox зберігає облікові дані у двох файлах усередині папки вашого профілю:

• logins.json — зберігає зашифровані імена користувачів, паролі, імена хостів та метадані
• key4.db — база даних ключів NSS (Network Security Services), яка містить ключі шифрування, що використовуються для захисту logins.json

Стандартне шифрування використовує 3DES (застарілі профілі) або AES-256-CBC (сучасні профілі), захищені ключем, похідним від вашого логіну ОС або, якщо встановлено, вашого основного пароля через PBKDF2-SHA256.

Розташування директорії профілю залежно від ОС:

Якщо вам коли-небудь знадобиться перенести облікові дані, достатньо скопіювати обидва файли — logins.json та key4.db — до нового профілю; жоден із файлів не є корисним без іншого.

Перегляд збережених паролів у Firefox на комп’ютері

Крок 1: Відкрийте менеджер паролів

Є два способи відкрити менеджер паролів:

Спосіб A — Пряма URL-адреса (найшвидший):

Введіть наступне безпосередньо в адресний рядок і натисніть Enter:

about:logins

Спосіб B — Навігація через меню:

1. Натисніть меню-гамбургер (три горизонтальні лінії) у верхньому правому куті.
2. Виберіть Паролі зі спадного меню.

Обидва методи відкривають однаковий інтерфейс about:logins.

Крок 2: Знайдіть запис облікових даних

На лівій панелі відображаються всі збережені логіни, відсортовані за алфавітом за іменем хоста. Використовуйте рядок пошуку у верхній частині панелі для фільтрації за доменним іменем, іменем користувача або будь-яким частковим рядком. Firefox виконує пошук підрядка в реальному часі по всіх полях.

Порада: Якщо у вас сотні записів, використовуйте параметри сортування (за назвою, датою останнього використання, датою останньої зміни або статусом сповіщення про витік), щоб ефективно звузити результати.

Крок 3: Відобразіть пароль

Натисніть на будь-який запис, щоб розгорнути панель деталей праворуч. Поле пароля за замовчуванням відображає замасковані символи. Натисніть значок ока праворуч від поля пароля, щоб перемкнути видимість.

Важливо: Якщо налаштовано основний пароль (див. розділ про безпеку нижче), Firefox запропонує вам ввести його перед відображенням будь-яких облікових даних. Це зроблено навмисно і є одним із найефективніших засобів локального захисту.

Крок 4: Скопіюйте або відредагуйте облікові дані

• Натисніть значок копіювання поруч із полем імені користувача або пароля, щоб скопіювати будь-яке значення в буфер обміну.
• Натисніть Редагувати, щоб змінити збережене ім’я користувача або пароль безпосередньо в менеджері.
• Натисніть Видалити, щоб остаточно видалити запис.

Особливий випадок — дублікати записів: Firefox може зберігати кілька облікових даних для одного домену. Якщо ви бачите дублікати імен хостів, це зазвичай відбувається, коли сайт змінив URL-адресу входу або ви зберегли облікові дані як у варіанті http://, так і https://. Видаліть їх вручну, щоб уникнути плутанини під час входу.

Експорт усіх збережених паролів

Firefox дозволяє масовий експорт для міграції або резервного копіювання:

1. У about:logins натисніть меню з трьома крапками (у верхньому правому куті сторінки).
2. Виберіть Експортувати логіни.
3. Підтвердьте попередження — експорт створює звичайний текстовий файл CSV з усіма незашифрованими обліковими даними.

"url","username","password","httpRealm","formActionOrigin","guid","timeCreated","timeLastUsed","timePasswordChanged"
"https://example.com","user@example.com","MyPassword123","","https://example.com","..."

Критичне попередження: Цей CSV-файл повністю незашифрований. Зберігайте його лише на зашифрованому носії або в архіві, захищеному паролем. Видаліть його одразу після використання. Ніколи не зберігайте його на спільному хостингу або незашифрованому хмарному сховищі.

Перегляд збережених паролів у Firefox на Android

1. Відкрийте Firefox для Android.
2. Торкніться меню з трьома крапками у верхньому правому куті.
3. Виберіть Налаштування.
4. Торкніться Логіни та паролі.
5. Торкніться Збережені логіни.
6. Використовуйте рядок пошуку для фільтрації записів, потім торкніться будь-якого запису.
7. Торкніться значка ока поруч із полем пароля.

Firefox на Android вимагає біометричної автентифікації або PIN-коду пристрою перед відображенням паролів, якщо на вашому пристрої налаштовано блокування екрана. Це контролюється API BiometricPrompt Android і не може бути обійдено без доступу на рівні пристрою.

Перегляд збережених паролів у Firefox на iOS

1. Відкрийте Firefox для iOS.
2. Торкніться меню-гамбургера (три горизонтальні лінії) у нижньому правому куті.
3. Виберіть Налаштування.
4. Торкніться Логіни та паролі.
5. Торкніться Збережені логіни.
6. Автентифікуйтеся за допомогою Face ID, Touch ID або коду доступу пристрою, коли з’явиться запит.
7. Торкніться будь-якого запису, потім торкніться значка ока, щоб відобразити пароль.

На iOS Firefox інтегрується з системним фреймворком LocalAuthentication, тобто доступ до облікових даних захищений тією самою біометричною системою, що використовується для розблокування вашого пристрою.

Посилення безпеки: захист паролів, збережених у Firefox

Встановіть основний пароль (раніше — головний пароль)

Основний пароль шифрує базу даних ключів key4.db за допомогою вибраної вами парольної фрази, роблячи збережені облікові дані недоступними без неї — навіть якщо хтось скопіює директорію вашого профілю.

Щоб увімкнути його:

1. Відкрийте меню Firefox і перейдіть до Налаштувань.
2. Перейдіть на вкладку Конфіденційність та захист.
3. Прокрутіть до розділу Логіни та паролі.
4. Встановіть прапорець Використовувати основний пароль.
5. Введіть і підтвердьте надійну парольну фразу.

Технічна примітка: Без основного пароля Firefox використовує порожній рядок за замовчуванням як ключ шифрування, тобто logins.json технічно зашифрований, але легко розшифровується будь-яким інструментом, що зчитує key4.db. Встановлення надійного основного пароля є найефективнішим локальним заходом безпеки, який ви можете вжити.

Увімкніть двофакторну автентифікацію для облікових записів Firefox

Якщо ви використовуєте Firefox Sync для синхронізації паролів між пристроями, ваш обліковий запис Firefox стає цінною ціллю. Увімкніть 2FA:

1. Відвідайте accounts.firefox.com.
2. Перейдіть до розділу Безпека в налаштуваннях облікового запису.
3. Увімкніть двоетапну автентифікацію за допомогою програми-автентифікатора (TOTP).

Це захищає рівень синхронізації, але не замінює основний пароль для захисту локального сховища — обидва мають бути активні одночасно.

Оновлюйте Firefox

Firefox випускає патчі безпеки на регулярній основі. Застарілі версії можуть бути вразливими до експлойтів, які здатні витягувати облікові дані з пам’яті або файлів профілю. Увімкніть автоматичне оновлення в розділі Налаштування > Загальні > Оновлення Firefox.

Перевіряйте облікові дані на предмет витоків

Firefox інтегрується з Mozilla Monitor (раніше — Firefox Monitor), який перевіряє ваші збережені облікові дані за базою даних Have I Been Pwned. Записи, позначені значком сповіщення про витік у about:logins, слід вважати скомпрометованими та негайно змінити.

Менеджер паролів Firefox проти спеціалізованих менеджерів паролів

Вбудований менеджер Firefox зручний, але має архітектурні обмеження в корпоративних, багатокористувацьких або серверних середовищах.

Для особистого використання на одному пристрої менеджер Firefox є достатнім, якщо налаштовано надійний основний пароль і 2FA для облікового запису Firefox. Для команд, розробників, які керують кількома середовищами, або будь-кого, хто обслуговує серверну інфраструктуру, самостійно розгорнуте рішення на VPS забезпечує значно більший контроль та можливості аудиту.

Запуск самостійно розгорнутого менеджера паролів на VPS

Якщо ви керуєте обліковими даними для команди, конвеєра розробки або кількох клієнтських середовищ, розгортання такого рішення, як Vaultwarden (легкий сервер, сумісний з Bitwarden, написаний на Rust), на VPS повністю усуває залежність від сторонньої інфраструктури синхронізації.

Мінімальне розгортання на Linux VPS виглядає так:

# Install Docker and Docker Compose if not already present
apt update && apt install -y docker.io docker-compose

# Create a directory for Vaultwarden data
mkdir -p /opt/vaultwarden/data

# Create a Docker Compose file
cat > /opt/vaultwarden/docker-compose.yml <<EOF
version: "3"
services:
  vaultwarden:
    image: vaultwarden/server:latest
    container_name: vaultwarden
    restart: unless-stopped
    volumes:
      - ./data:/data
    environment:
      WEBSOCKET_ENABLED: "true"
      SIGNUPS_ALLOWED: "false"
    ports:
      - "127.0.0.1:8080:80"
EOF

# Start the service
cd /opt/vaultwarden && docker-compose up -d

Розмістіть це за зворотним проксі Nginx із дійсним TLS-сертифікатом. Поєднання цього з SSL-сертифікатом гарантує шифрування всього трафіку облікових даних під час передачі. Для команд, яким потрібні ізольовані середовища для кожного проєкту, виділені сервери забезпечують апаратну ізоляцію, яку спільна інфраструктура не може гарантувати.

Якщо ви надаєте перевагу керованій панелі управління для налаштування веб-сервера, VPS з cPanel спрощує керування віртуальними хостами та SSL без ручного налаштування Nginx.

Відновлення паролів, коли Firefox не запускається

Якщо Firefox аварійно завершує роботу або пошкоджується, ви можете витягти облікові дані безпосередньо з файлів профілю за допомогою інструменту Python firefox_decrypt:

# Clone the tool
git clone https://github.com/unode/firefox_decrypt.git
cd firefox_decrypt

# Point it at your profile directory
python3 firefox_decrypt.py ~/.mozilla/firefox/<your-profile>

Вам буде запропоновано ввести основний пароль, якщо він встановлений. Інструмент виводить облікові дані у вигляді звичайного тексту в stdout — використовуйте перенаправлення обережно:

python3 firefox_decrypt.py ~/.mozilla/firefox/<your-profile> > /tmp/recovered_creds.txt

Зашифруйте або видаліть /tmp/recovered_creds.txt одразу після використання. Цей підхід також корисний для криміналістичних аудитів на Linux-серверах, де профіль Firefox без графічного інтерфейсу використовувався для автоматизованого тестування браузера.

Практична матриця прийняття рішень

Використовуйте цей контрольний список, щоб визначити правильний підхід до керування обліковими даними у вашій ситуації:

• Один користувач, особистий пристрій, облікові записи з низьким ризиком — менеджер паролів Firefox з основним паролем і 2FA для облікового запису Firefox є достатнім.
• Один користувач, облікові записи з високою цінністю (банківські, інфраструктурні) — використовуйте спеціалізований менеджер паролів (локальне сховище KeePass або хмарний Bitwarden) на додаток до менеджера Firefox або замість нього.
• Розробник, який керує кількома серверними середовищами — самостійно розгорніть Vaultwarden на VPS з TLS та дозволеними IP-адресами. Використовуйте Bitwarden CLI для автоматизованого отримання облікових даних.
• Невелика команда, що спільно використовує облікові дані — Vaultwarden з організаційними сховищами, розгорнутий на VPS із щоденним зашифрованим резервним копіюванням на зовнішнє сховище.
• Корпоративне або регульоване відповідністю середовище — спеціалізоване керування секретами (HashiCorp Vault, AWS Secrets Manager) з повним журналом аудиту; менеджер Firefox не підходить для цього випадку використання.
• Облікові дані електронної пошти зокрема — розгляньте хостинг електронної пошти з примусовим 2FA на рівні провайдера, незалежно від паролів, збережених у браузері.

FAQ

Чи можна отримати доступ до збережених паролів Firefox без основного пароля?

Так, якщо основний пароль не встановлено, ключ шифрування похідний від порожнього рядка, і будь-який інструмент, що зчитує key4.db разом із logins.json, може розшифрувати всі збережені облікові дані без взаємодії з користувачем. Встановлення надійного основного пароля є обов’язковим, якщо безпека локальних облікових даних має значення.

Де саме зберігаються паролі Firefox на Linux?

Вони зберігаються у двох файлах — logins.json та key4.db — усередині директорії вашого профілю за адресою ~/.mozilla/firefox/<profile-id>/. Обидва файли мають бути присутніми разом для успішного розшифрування.

Чи шифрує Firefox Sync паролі перед відправкою на сервери Mozilla?

Так. Firefox Sync використовує модель шифрування на стороні клієнта, де дані шифруються локально за допомогою ключів, похідних від пароля вашого облікового запису, перед передачею. Сервери Mozilla зберігають лише зашифровані дані. Однак це не є архітектурою з нульовим знанням у строгому сенсі, оскільки деривація ключа передбачає облікові дані вашого облікового запису, які Mozilla автентифікує.

Чому значок ока не відображається для деяких записів паролів?

Зазвичай це відбувається, коли запис було збережено без значення пароля (записи лише з іменем користувача), або коли запис позначено як витік і Firefox тимчасово обмежив його відображення. Перевірте деталі запису та переконайтеся, що поле пароля не порожнє.

Чи безпечно використовувати менеджер паролів Firefox на спільному або публічному комп’ютері?

Ні. На будь-якій спільній машині збережені паролі доступні будь-кому, хто має доступ до вашого профілю користувача на рівні ОС, незалежно від того, чи встановлено основний пароль — оскільки основний пароль захищає ключ шифрування, але сама директорія профілю доступна для читання обліковим записом користувача ОС. Завжди використовуйте режим приватного перегляду та ніколи не зберігайте паролі на спільному обладнанні.