Мениджърът на пароли на Firefox има недостатък, но той ще бъде поправен

• Категория: Firefox

Можете да запазвате пароли в уеб браузъра Mozilla Firefox; функционалността е активирана по подразбиране и ще бъдете подканени да го направите, когато Firefox разпознае, че сте въвели потребителско име и парола за влизане.

Потребителите на Firefox могат да разрешат главна парола, за да защитят паролите с криптиране, така че местните участници да не могат само да имат достъп до базата данни с пароли. Вие контролирате съхранението на парола за about: preferences # privacy.

Ако не искате Firefox да запазва паролите, просто премахнете отметката от „Запомни влизания и пароли за уебсайтове“ и това е това. За да зададете главна парола, поставете отметка в квадратчето „използвайте главна парола“ и следвайте съветника, за да използвате криптирането, за да запазите паролите си.

Adblock Plus ръководител Владимир Палант анализира Наскоро основният код на паролата на Firefox откри и че внедряването на основната парола във Firefox и други продукти, които споделят код с Firefox, като Thunderbird, има слабост.

Въпреки това, когато погледнах в изходния код, в крайна сметка открих функцията sftkdb_passwordToKey (), която преобразува парола в ключ за криптиране чрез прилагане на хеширане на SHA-1 към низ, състоящ се от случайна сол и вашата действителна главна парола. Всеки, който някога е проектирал функция за вход на уебсайт, вероятно ще види червения флаг тук.

Въпреки че внедряването на Firefox е бързо, но в същото време прави груба принуда и бързата главна парола. Palant предполага, че нападателите биха могли да изчислят до 8,5 милиарда хеша SHA-1 в секунда, използвайки една видеокарта Nvidia GTX 1080, и че ще отнеме около минута, за да се пробият средни главни пароли заради това.

Докато по-силните пароли биха удължили времето, необходимо за атака на главната парола, нападателите с достатъчно време или ресурси в крайна сметка биха могли да пробият повечето главни пароли, които се използват.

Главната парола обаче защитава от неопитни опити за достъп до базата данни с пароли.

Към бе добавен бъг Bugzilla на Mozilla уебсайт преди девет години, който подчерта проблема. Тогава предложението на Джъстин Долски беше да се увеличи броя на итерациите, за да се увеличи времето, необходимо за извършване на груби атаки срещу главната парола на Firefox.

По-голям брой итерации биха направили това по-устойчиво на грубо форсиране (чрез увеличаване на цената на тестовата парола), спецификацията PKCS # 5 предлага „скромна стойност“ от 1000 повторения. И това беше преди 10 години. :)

Palant публикува съобщение до бъга, който го съживи от крайника. Няколко служители и разработчици на Mozilla отговориха и изглежда, че проблемът ще бъде решен в края на краищата.

Робърт Реля предложи да се промени броя на повторенията, за да се реши проблема. Това би подобрило сигурността на главната парола, без да засяга запаметените пароли в базата данни.

Mozilla пусна алфа на Lockbox , наскоро нов мениджър на пароли за Firefox. Организацията пусна алфата като разширение на браузъра с цел тестване, но Lockbox в крайна сметка може да замени мениджъра на паролите по подразбиране на браузъра Firefox.

Една от основните разлики между текущия мениджър на пароли на Firefox и Lockbox е разчитането на акаунта на Firefox на последния.

Заключителни думи

И така, какво да направите, ако използвате мениджъра на пароли по подразбиране на Firefox и сте задали главна парола? Повечето потребители на Firefox вероятно не трябва да се притесняват от проблема, тъй като няма да се сблъскат със ситуации, в които някой ще направи груба принудителна главна парола.

Засегнатите от проблема могат да увеличат дължината на основната парола или междувременно да преминат към друг мениджър на пароли.

Личният ми любим е KeePass , мениджър на пароли за настолни компютри, но можете да използвате онлайн решения като LastPass както и ако имате нужда от по-лесно синхронизиране.

Сега ти : Използвате ли мениджъра на паролите на Firefox? (чрез Кърващ компютър )

Свързани статии

• Firefox 29: запазване и попълване на пароли за автоматично завършване = „изключване“
• Паролите на Firefox не могат да бъдат синхронизирани, ако използвате главна парола
• Как да импортирате отметки, пароли и други данни в Firefox
• Mozilla подобрява управлението на паролата във Firefox за Android
• Mozilla за подобряване на мениджъра на пароли във Firefox 32