Firefoxov upravitelj gesla ima napako, vendar bo odpravljen
- Kategorija: Firefox
Gesla lahko shranite v spletni brskalnik Mozilla Firefox; funkcionalnost je privzeto omogočena in na to boste pozvani, ko Firefox prepozna, da ste vpisali uporabniško ime in geslo za prijavo.
Uporabniki Firefoxa lahko omogočijo glavno geslo za zaščito gesel s šifriranjem, tako da lokalni akterji ne morejo dostopati samo do baze podatkov gesla. Shranjujete geslo za približno: preferences zasebnost.
Če ne želite, da Firefox shrani gesla, samo počistite polje »Zapomni si prijave in gesla za spletna mesta« in to je to. Če želite nastaviti glavno geslo, potrdite polje »uporabi glavno geslo« in sledite čarovniku, če želite shraniti gesla, če želite uporabiti šifriranje.
Adblock Plus mojster Wladimir Palant analizirali Pred kratkim glavna koda gesla za Firefox je odkrila, da ima implementacija glavnega gesla v Firefoxu in drugih izdelkih, ki si kodo delijo s Firefoxom, kot je Thunderbird, slabost.
Ko pa sem pogledal izvorno kodo, sem sčasoma našel funkcijo sftkdb_passwordToKey (), ki pretvori geslo v šifrirni ključ s pomočjo uporabe hashita SHA-1 na niz, ki je sestavljen iz naključne soli in vašega dejanskega glavnega gesla. Vsakdo, ki je kdaj zasnoval funkcijo za prijavo na spletnem mestu, bo tu verjetno videl rdečo zastavo.
Čeprav je implementacija Firefoxa hitra, obenem naredi hitro grobo prisiljevanje glavnega gesla. Palant predlaga, da bi napadalci lahko z eno samo video kartico Nvidia GTX 1080 izračunali do 8,5 milijarde SHA-1 na sekundo in da bi zaradi tega potrebovali približno minuto.
Medtem ko bi močnejša gesla podaljšala čas, ki je potreben za napad na glavno geslo, bi napadalci z dovolj časa ali sredstev na koncu lahko zrušili večino glavnih geslov, ki se uporabljajo.
Glavno geslo pa ščiti pred nezahtevenimi poskusi dostopa do baze podatkov gesla.
Hup je bil dodan Mozillina Bugzilla spletno stran pred devetimi leti, ki je opozorila na to težavo. Takrat je bil predlagan Justin Dolske, da se poveča število iteracij, da se poveča čas, potreben za izvajanje napadov grobe sile proti glavnemu geslu za Firefox.
Zaradi večjega števila iteracij bi bilo to bolj odporno proti naklepanju (s povečanjem stroškov preizkušanja gesla), specifikacija PKCS # 5 predlaga 'skromno vrednost' 1000 ponovitev. In to je bilo pred 10 leti. :)
Palant je hrošči objavil sporočilo, ki ga je oživljalo iz okončine. Več Mozillinih sodelavcev in razvijalcev je odgovorilo, in videti je, kot da bo težava navsezadnje rešena.
Robert Relyea je predlagal spremembo števila iteracij za reševanje vprašanja. To bi izboljšalo varnost glavnega gesla, ne da bi to vplivalo na shranjena gesla v bazi.
Mozilla je lansirala alfa Lockboxa , pred kratkim nov upravitelj gesla za Firefox. Organizacija je za preizkusne namene izdala alfo kot razširitev brskalnika, vendar bi lahko Lockbox sčasoma zamenjal privzeti upravitelj gesel brskalnika Firefox.
Glavna razlika med trenutnim skrbnikom gesla za Firefox in Lockbox je odvisnost od Firefox računa slednjega.
Zaključne besede
Torej, kaj morate storiti, če uporabljate privzeti upravitelj gesla za Firefox in nastavite glavno geslo? Večini uporabnikov Firefoxa verjetno ni treba skrbeti za težavo, saj ne bodo naleteli na primere, ko bo kdo silovito prisilil glavno geslo.
Zadeve, ki jih zadeva težava, lahko dolgoročno povežejo glavno geslo ali med tem preklopijo na drugega upravitelja gesel.
Moj osebni najljubši je KeePass , namizni upravitelj gesla, vendar lahko uporabite spletne rešitve, kot so LastPass pa tudi, če potrebujete lažje sinhronizacijo.
Zdaj pa ti : Ali uporabljate Firefoxov skrbnik za gesla? (prek Krvav računalnik )
Povezani članki
- Firefox 29: shranite in izpolnite samodejno dokončanje = 'off' gesla
- Firefox Gesla ni mogoče sinhronizirati, če uporabljate glavno geslo
- Kako uvoziti zaznamke, gesla in druge podatke v Firefox
- Mozilla izboljšuje upravljanje gesla v Firefoxu za Android
- Mozilla za izboljšanje upravitelja gesel v Firefoxu 32