A Firefox Password Manager hibája van, ám ez kijavításra kerül

A jelszavakat a Mozilla Firefox böngészőben mentheti; a funkcionalitás alapértelmezés szerint engedélyezve van, és erre kéri, amikor Firefox felismeri, hogy bejelentkezett felhasználónevet és jelszót a bejelentkezéshez.

A Firefox felhasználói engedélyezhetik a fő jelszót a jelszavak titkosítással történő védelmére, hogy a helyi szereplők ne csak hozzáférjenek a jelszó adatbázishoz. A jelszavak tárolását az alábbiakra irányítja: preferences # adatvédelem.



Ha nem akarja, hogy a Firefox mentse a jelszavakat, akkor csak törölje a jelet az „Emlékezzen a bejelentkezésekre és a webhelyek jelszavaira” jelölőnégyzetből, és ez az. A fő jelszó beállításához jelölje be a „fő jelszó használata” jelölőnégyzetet, és kövesse a varázslót a titkosítás használatához a jelszavak mentéséhez.

firefox master password

Adblock Plus mesterindító Wladimir Palant elemzett A Firefox fő jelszó kódja nemrégiben felfedezte, hogy a fő jelszó végrehajtása a Firefoxban és más olyan termékekben, amelyek megosztják a kódot a Firefox-szal, például a Thunderbird, gyenge.



Amikor azonban megvizsgáltam a forráskódot, végül megtaláltam az sftkdb_passwordToKey () függvényt, amely jelszavakat titkosítási kulcsgá alakít át azáltal, hogy SHA-1 hashingot alkalmaz egy karakterláncra, amely egy véletlenszerű sót és a tényleges főjelszót tartalmaz. Bárki, aki valaha megtervezte a bejelentkezési funkciót egy weboldalon, valószínűleg itt látja a piros zászlót.

Míg a Firefox gyors megvalósítása gyors, ugyanakkor gyorsabbá teszi a fő jelszó kényszerítését is. Palant azt sugallja, hogy a támadók másodpercenként akár 8,5 milliárd SHA-1 hash-ot tudnak kiszámítani egyetlen Nvidia GTX 1080 videokártyával, és körülbelül egy percbe telik az átlagos mesterjelszavak feltörése.

Míg az erősebb jelszavak meghosszabbítanák a fő jelszó megtámadásához szükséges időt, addig elég idővel vagy erőforrásokkal rendelkező támadók végül képesek lennének feltörni a legtöbb használt fő jelszót.

A fő jelszó ugyanakkor védi a jelszó adatbázis elérésére irányuló kifinomálatlan kísérleteket.

Egy hibát adtak hozzá Mozilla Bugzilla kilenc évvel ezelőtti webhely, amely kiemelte a kérdést. Justin Dolske akkori javaslata az iterációs szám növelése volt, hogy megnövelje a brutális erőszakos támadások futtatásához szükséges időt a Firefox fő jelszava ellen.

A magasabb iterációs szám miatt ez ellenáll a brutális erőszakolásnak (a jelszó tesztelésének költségeinek növelésével), a PKCS # 5 specifikáció 1000 iteráció „szerény értékét” javasolja. És ez volt 10 évvel ezelőtt. :)

Palant üzenetet írt a hibára, amely újból felébresztette. Több Mozilla alkalmazott és fejlesztő válaszolt, és úgy tűnik, hogy végül is a kérdést kezelik.

Robert Relyea javasolta, hogy változtassa meg az iterációs számot a probléma megoldása érdekében. Ez javítja a fő jelszó biztonságát anélkül, hogy befolyásolná az adatbázisban tárolt jelszavakat.

A Mozilla elindította a Lockbox egy alfaját, a közelmúltban új jelszókezelő a Firefox számára. A szervezet tesztelési célból böngésző-kiterjesztésként kiadta az alfát, de a Lockbox végül helyettesítheti a Firefox böngésző alapértelmezett jelszókezelőjét.

Az egyik alapvető különbség a Firefox jelenlegi jelszókezelője és a Lockbox között az utóbbi Firefox-fiókjára való támaszkodás.

Záró szavak

Tehát, mit kell tennie, ha a Firefox alapértelmezett jelszókezelőjét használja, és beállította a fő jelszót? A legtöbb Firefox-felhasználónak valószínűleg nem kell aggódnia a kérdés miatt, mivel nem fognak olyan helyzetekbe kerülni, amikor valaki erőszakkal fogja kikényszeríteni a fő jelszót.

A probléma miatt aggódók meghosszabbíthatják a fő jelszó hosszát, vagy időközben átválthatnak egy másik jelszókezelőre.

Az én személyes kedvencem KeePass, egy asztali jelszókezelő, de olyan online megoldásokat is használhat, mint a LastPass akkor is, ha könnyebb szinkronizálásra van szüksége.

Most te: Használja a Firefox jelszókezelőjét? (keresztül Alvó számítógép)

Kapcsolódó cikkek