Firefoxi paroolihalduril on puudus, kuid see parandatakse

Paroolid saate salvestada Mozilla Firefoxi veebibrauseris; funktsioon on vaikimisi lubatud ja kui Firefox tuvastab, et sisestasite sisselogimiseks kasutajanime ja parooli, palutakse teil seda teha.

Firefoxi kasutajad võivad paroolide kaitsmiseks krüptimisega lubada peaparooli, nii et kohalikud osalejad ei pääse ainult paroolide andmebaasi. Te kontrollite paroolide salvestamist järgmistel teemadel: eelistused # privaatsus.

Kui te ei soovi, et Firefox paroole salvestaks, tühjendage lihtsalt ruut „Pea meeles sisselogimisi ja veebisaitide paroole” ja tehke see. Peaparooli seadistamiseks märkige ruut „kasuta peaparooli” ja järgige viisardit, et paroolide salvestamiseks krüptimist kasutada.

firefox master password

Adblock Plus meistrimees Wladimir Palant analüüsitud Firefoxi peaparoolikood ja avastasid hiljuti, et peamise parooli rakendamine Firefoxis ja teistes toodetes, mis jagavad koodi Firefoxiga, näiteks Thunderbird, on nõrk.

Lähtekoodi uurides leidsin lõpuks siiski funktsiooni sftkdb_passwordToKey (), mis teisendab parooli krüpteerimisvõtmeks, rakendades SHA-1 räsimist stringile, mis koosneb juhuslikest sooladest ja teie tegelikust paroolist. Kõik, kes on kunagi veebisaidil sisselogimisfunktsiooni kavandanud, näevad siin tõenäoliselt punast lippu.

Ehkki Firefoxi rakendamine on kiire, muudab see samal ajal kiireks ka peaparooli sundimise. Palant soovitab, et ründajad võiksid ühe Nvidia GTX 1080 videokaardi abil arvutada kuni 8,5 miljardit SHA-1 rütmi sekundis ja keskmiste põhiparoolide purustamiseks kuluks umbes minut.

Tugevamad paroolid pikendaksid põhiparooli ründamiseks kuluvat aega, kuid piisavalt aega või ressurssi omavad ründajad saaksid lõpuks hävitada enamiku kasutatavatest paroolidest.

Peamine parool kaitseb paroolide andmebaasile juurdepääsu keerukate katsete eest.

Viga lisati saidile Mozilla Bugzilla üheksa aastat tagasi loodud veebisait, mis tõstis selle teema esile. Justin Dolske soovitus toona oli iteratsioonide arvu suurendamine, et pikendada Firefoxi peaparooli vastu suunatud julma jõu rünnakute aega.

Suurem iteratsiooniarv muudaks selle vastupidavamaks jõhkrale sundimisele (suurendades parooli testimise kulusid), soovitab PKCS # 5 spetsifikatsioon „tagasihoidlikku väärtust” 1000 iteratsiooni. Ja see oli 10 aastat tagasi. :)

Palant postitas veale sõnumi, mis taaselustas selle jäsemest. Mitu Mozilla töötajat ja arendajat vastasid ning tundub, et küsimusega hakatakse lõpuks tegelema.

Robert Relyea soovitas probleemi lahendamiseks muuta iteratsioonide arvu. See parandaks põhiparooli turvalisust, ilma et see mõjutaks andmebaasis talletatud paroole.

Mozilla tõi välja Lockboxi alfa , hiljuti Firefoxi uus paroolide haldur. Organisatsioon andis testimiseks kasutusele alfaversiooni brauserilaiendina, kuid Lockbox võib lõpuks asendada Firefoxi brauseri vaikimisi paroolide halduri.

Üks peamisi erinevusi Firefoxi praeguse paroolide halduri ja Lockboxi vahel on viimase Firefoxi kontole tuginemine.

Sõnade sulgemine

Niisiis, mida peaksite tegema, kui kasutate Firefoxi vaikeparoolide haldurit ja olete põhiparooli seadistanud? Tõenäoliselt ei pea enamik Firefoxi kasutajaid selle teema pärast muretsema, kuna nad ei satu olukordadesse, kus keegi sunnib peaparooli sundima.

Need, kes selle teema pärast muretsevad, võivad põhiparooli pikkust pikendada või vahetada mõnda teist paroolide haldurit.

Minu isiklik lemmik on KeePass , töölaua paroolide haldur, kuid võite kasutada ka veebipõhiseid lahendusi, näiteks LastPass kui vajate lihtsamat sünkroonimist.

Nüüd sina : Kas kasutate Firefoxi paroolide haldurit? (kaudu Magamisarvuti )

Seotud artiklid