Менеджер паролів Firefox має недолік, але він буде виправлений

• Категорія: Firefox

Спробуйте Наш Інструмент Для Усунення Проблем

Виберіть Операційну Систему Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Виберіть Програму Проекції (Необов'Язково) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Опишіть Свою Проблему

Отримати Відповідь

Надіслати Мене Електронною Поштою Показати На Сайті

Ви можете зберігати паролі у веб-переглядачі Mozilla Firefox; функціональність включена за замовчуванням, і вам буде запропоновано зробити це, коли Firefox визнає, що ви ввели ім’я користувача та пароль для входу.

Користувачі Firefox можуть увімкнути головний пароль для захисту паролів із шифруванням, щоб місцеві суб’єкти могли не просто отримати доступ до бази даних паролів. Ви можете керувати зберіганням паролем на веб-сторінці about: preferences # privacy.

Якщо ви не хочете, щоб Firefox зберігав паролі, просто зніміть прапорець 'Запам'ятати логіни та паролі для веб-сайтів', і це все. Щоб встановити головний пароль, установіть прапорець 'використовувати головний пароль' та дотримуйтесь майстра, щоб скористатися шифруванням, щоб зберегти ваші паролі.

Admlock Plus натхненник Володимир Палант проаналізовано Нещодавно головний код пароля Firefox виявив, що реалізація головного пароля в Firefox та інших продуктах, які діляться кодом з Firefox, наприклад, Thunderbird, має слабкі місця.

Однак, переглянувши вихідний код, я врешті знайшов функцію sftkdb_passwordToKey (), яка перетворює пароль у ключ шифрування за допомогою застосування хешування SHA-1 до рядка, що складається з випадкової солі та фактичного головного пароля. Кожен, хто коли-небудь розробляв функцію входу на веб-сайті, швидше за все, побачить тут червоний прапор.

Незважаючи на те, що впровадження Firefox є швидким, воно в той же час робить і грубим примушенням головного пароля. Палант припускає, що зловмисники могли обчислити до 8,5 мільярдів хешів SHA-1 в секунду за допомогою однієї відеокарти Nvidia GTX 1080, і щоби зламати середні головні паролі через це знадобиться близько хвилини.

Хоча більш сильні паролі збільшують час, необхідний для атаки головного пароля, зловмисники, які мають достатньо часу або ресурсів, з часом зможуть зламати більшість основних паролів, які використовуються.

Однак основний пароль захищає від непрофесійних спроб доступу до бази даних паролів.

Помилку додано до Бузіла Мозілла веб-сайт дев'ять років тому, який висвітлив проблему. Тоді пропозиція Джастіна Дольського полягала в тому, щоб збільшити кількість ітерацій, щоб збільшити час, необхідний для запуску грубої атаки проти головного пароля Firefox.

Більш висока кількість ітерацій зробить це більш стійким до жорстокого форсування (за рахунок збільшення вартості тестування пароля), специфікація PKCS №5 пропонує «скромне значення» в 1000 ітерацій. І це було 10 років тому. :)

Palant розмістив повідомлення про помилку, яка оживила його з кінцівки. Кілька співробітників та розробників Mozilla відповіли, і схоже, що питання вирішуватиметься врешті-решт.

Роберт Релія запропонував змінити кількість ітерацій для вирішення проблеми. Це покращило б захист головного пароля, не впливаючи на збережені паролі в базі даних.

Mozilla запустила альфу Lockbox , нещодавно новий менеджер паролів для Firefox. Організація випустила альфа як розширення для браузера з метою тестування, але Lockbox може врешті-решт замінити менеджер паролів за замовчуванням браузера Firefox.

Однією з головних відмінностей між поточним менеджером паролів Firefox та Lockbox є залежність від облікового запису Firefox останнього.

Заключні слова

Отже, що робити, якщо ви використовуєте менеджер паролів за замовчуванням Firefox і встановили головний пароль? Більшість користувачів Firefox, ймовірно, не повинні турбуватися про цю проблему, оскільки вони не зіткнуться з ситуаціями, коли хтось буде жорстоко застосовувати головний пароль.

Ті, хто стурбований проблемою, можуть збільшити тривалість головного пароля або тим часом перейти до іншого менеджера паролів.

Мій особистий фаворит - це KeePass , менеджер паролів на робочому столі, але ви можете використовувати онлайн-рішення, такі як LastPass а також якщо вам потрібна легша синхронізація.

Тепер ти : Ви використовуєте менеджер паролів Firefox? (через Дитячий комп'ютер )

Пов'язані статті

• Firefox 29: збереження та заповнення автозаповнення = 'вимкнено' паролі
• Паролі Firefox не можна синхронізувати, якщо ви використовуєте головний пароль
• Як імпортувати закладки, паролі та інші дані до Firefox
• Mozilla покращує керування паролями у Firefox для Android
• Mozilla покращить менеджер паролів у Firefox 32