Firefox Password Manager má vadu, ale bude opravena
- Kategorie: Firefox
Hesla můžete ukládat do webového prohlížeče Mozilla Firefox; tato funkce je ve výchozím nastavení povolena a budete vyzváni, abyste tak učinili, když Firefox zjistí, že jste přihlašovací jméno a heslo zadali.
Uživatelé Firefoxu mohou povolit hlavní heslo k ochraně hesel šifrováním, takže místní aktéři nemusí mít přístup pouze k databázi hesel. Úložiště hesla ovládáte na: preference # privacy.
Pokud nechcete, aby Firefox ukládal hesla, jednoduše zrušte zaškrtnutí políčka Zapamatovat přihlašovací údaje a hesla pro weby a to je vše. Chcete-li nastavit hlavní heslo, zaškrtněte políčko „použít hlavní heslo“ a podle průvodce použijte šifrování k uložení vašich hesel.
Adblock Plus mastermind Wladimir Palant analyzovány Hlavní kód Firefoxu v poslední době zjistil, že implementace hlavního hesla v Firefoxu a dalších produktech, které sdílejí kód s Firefoxem, jako je Thunderbird, má slabost.
Když jsem se však podíval do zdrojového kódu, nakonec jsem našel funkci sftkdb_passwordToKey (), která převádí heslo na šifrovací klíč pomocí hašování SHA-1 na řetězec skládající se z náhodné soli a skutečného hlavního hesla. Každý, kdo někdy vytvořil přihlašovací funkci na webu, uvidí červenou vlajku pravděpodobně zde.
Implementace Firefoxu je sice rychlá, ale zároveň je také hrubá. Palant navrhuje, aby útočníci mohli spočítat až 8,5 miliardy hashů SHA-1 za sekundu pomocí jediné grafické karty Nvidia GTX 1080 a že by kvůli tomu prasklo přibližně minutu průměrné hlavní heslo.
Zatímco silnější hesla by prodloužila dobu potřebnou k útoku na hlavní heslo, útočníci s dostatečným časem nebo prostředky by nakonec byli schopni popraskat většinu používaných hlavních hesel.
Hlavní heslo však chrání před neúmyslnými pokusy o přístup k databázi hesel.
Byla přidána chyba Mozilla's Bugzilla web před devíti lety, který zdůraznil problém. Justin Dolske v té době navrhoval zvýšit počet iterací a prodloužit dobu potřebnou k provedení útoků hrubou silou proti hlavnímu heslu Firefoxu.
Vyšší počet iterací by učinil toto odolnější vůči násilnému nucení (zvýšením nákladů na testování hesla), specifikace PKCS # 5 navrhuje „skromnou hodnotu“ 1000 iterací. A to bylo před 10 lety. :)
Palant poslal zprávu chybě, která ji oživila z limbu. Několik zaměstnanců a vývojářů Mozilly odpovědělo a vypadá to, že problém bude nakonec vyřešen.
Robert Relyea navrhl změnit počet iterací, aby se problém vyřešil. To by zlepšilo zabezpečení hlavního hesla bez ovlivnění uložených hesel v databázi.
Mozilla vypustil alfa Lockboxu , nový správce hesel pro Firefox, nedávno. Organizace vydala alfa jako rozšíření prohlížeče pro účely testování, ale Lockbox mohl nakonec nahradit výchozího správce hesel v prohlížeči Firefox.
Jedním z hlavních rozdílů mezi současným správcem hesel Firefoxu a Lockboxu je spoléhání se na účet Firefoxu pro Firefox.
Závěrečná slova
Co byste tedy měli udělat, pokud použijete výchozí správce hesel Firefoxu a nastavíte hlavní heslo? Většina uživatelů Firefoxu se pravděpodobně nemusí bát problému, protože se nestanou v situacích, kdy někdo hrubě vynutí hlavní heslo.
Zájemci o problém mohou mezitím prodloužit délku hlavního hesla nebo přechod na jiného správce hesel.
Můj osobní oblíbený je KeePass , správce hesel pro stolní počítače, ale můžete použít online řešení, například LastPass stejně tak, pokud potřebujete jednodušší synchronizaci.
Teď ty : Používáte správce hesel Firefoxu? (přes Bleeping Computer )
Související články
- Firefox 29: uložte a vyplňte hesla autocomplete = 'off'
- Hesla Firefox nelze synchronizovat, pokud používáte hlavní heslo
- Jak importovat záložky, hesla a další data do Firefoxu
- Mozilla zlepšuje správu hesel v prohlížeči Firefox pro Android
- Mozilla vylepšuje správce hesel ve Firefoxu 32