Firefoxin Password Managerilla on virhe, mutta se korjataan

Voit tallentaa salasanoja Mozilla Firefox -selaimeen; toiminnallisuus on oletuksena käytössä, ja sinua kehotetaan tekemään niin, kun Firefox huomaa, että kirjoitit käyttäjänimen ja salasanan kirjautuaksesi sisään.

Firefox-käyttäjät voivat sallia pääsalasanan suojaamaan salasanoja salauksella, jotta paikalliset toimijat eivät vain pääse salasana-tietokantaan. Sinä hallitset salasanan tallennusta seuraavissa asioissa: preferences # tietosuoja.

Jos et halua Firefoxin tallentavan salasanoja, poista valinta 'Muista verkkosivustojen sisäänkirjautumiset ja salasanat' -valintaruudusta ja se on se. Asenna pääsalasana valitsemalla 'käytä pääsalasanaa' -valintaruutu ja seuraamalla ohjattua toimintoa salauksen tallentamiseksi salasanojen avulla.

firefox master password

Adblock Plus -päällikkö Wladimir Palant analysoidaan Firefoxin pääsalasanakoodi äskettäin ja huomasi, että isäntäsalasanan käyttöönotossa Firefoxissa ja muissa tuotteissa, jotka jakavat koodia Firefoxin kanssa, kuten Thunderbird, on heikkous.

Tutkiessani lähdekoodia löysin kuitenkin lopulta sftkdb_passwordToKey () -funktion, joka muuntaa salasanan salausavaimeksi soveltamalla SHA-1-hajautusta merkkijonoon, joka koostuu satunnaissuolasta ja todellisesta pääsalasanastasi. Jokainen, joka on koskaan suunnitellut kirjautumistoiminnon verkkosivustolla, näkee todennäköisesti punaisen lipun täällä.

Vaikka Firefoxin toteutus on nopeaa, se tekee samalla myös raa'an pakottamaan isäntäsalasanan nopeasti. Palant ehdottaa, että hyökkääjät voisivat laskea jopa 8,5 miljardia SHA-1-ripausta sekunnissa käyttämällä yhtä Nvidia GTX 1080 -korttia ja että keskimääräisten isäntäsalasanojen murtaminen vie sen vuoksi noin minuutin.

Vaikka vahvemmat salasanat pidentäisivät isäntäsalasanan hyökkäykseen kuluvaa aikaa, hyökkääjät, joilla on tarpeeksi aikaa tai resursseja, voisivat lopulta murtaa useimmat käytössä olevat pääsalasanat.

Pääsalasana suojaa kuitenkin hienostuneilta yrityksiltä päästä salasana-tietokantaan.

Virhe lisättiin Mozilla's Bugzilla yhdeksän vuotta sitten verkkosivusto, joka korosti asiaa. Justin Dolsken ehdotus tuolloin oli lisätä iteraatiomäärää lisätäksesi aikaa, joka tarvitaan raa'an joukkohyökkäysten suorittamiseen Firefoxin pääsalasanaa vastaan.

Suurempi iteraatiomäärä tekisi tästä vastustuskykyisemmän raa'alle pakotukselle (lisäämällä salasanan testauksen kustannuksia), PKCS # 5 -spesifikaatti ehdottaa 'vaatimatonta arvoa' 1000 iteraatiota. Ja se oli 10 vuotta sitten. :)

Palant lähetti viestin vikaan, joka elvytti sen tyhjästä. Useat Mozilla-työntekijät ja kehittäjät vastasivat, ja näyttää siltä, ​​että asia hoidetaan loppujen lopuksi.

Robert Relyea ehdotti iteraatiomäärän muuttamista ongelman ratkaisemiseksi. Tämä parantaisi pääsalasanan turvallisuutta vaikuttamatta tietokantaan tallennettuihin salasanoihin.

Mozilla lanseerasi Lockboxin alfa-version , uusi salasananhallinta Firefoxille, äskettäin. Organisaatio julkaisi alfa-selaimen laajennuksena testausta varten, mutta Lockbox voisi lopulta korvata Firefox-selaimen oletussalasanahallinnan.

Yksi tärkeimmistä eroista Firefoxin nykyisen salasananhallinnan ja Lockboxin välillä on riippuvuus viimeksi mainitun Firefox-tilistä.

Loppu sanat

Joten mitä sinun pitäisi tehdä, jos käytät Firefoxin oletussalasanahallintaa ja olet määrittänyt pääsalasanan? Useimpien Firefox-käyttäjien ei todennäköisesti tarvitse murehtia ongelmasta, koska he eivät kohtaa tilanteita, joissa joku pakottaa pääsalasanan.

Asiasta huolissaan olevat voivat pidentää pääsalasanan pituutta tai siirtyä toiseen salasanahallintaan.

Oma suosikkini on KeePass , työpöydän salasanojen hallinta, mutta voit käyttää online-ratkaisuja, kuten LastPass samoin, jos tarvitset helpompaa synkronointia.

Nyt sinä : Käytätkö Firefoxin salasananhallintaa? (kautta Nukkuva tietokone )

Aiheeseen liittyvät artikkelit