Firefoxov Upravitelj lozinki ima nedostatak, ali on će biti riješen
- Kategorija: Firefox
Možete spremati lozinke u web-pregledniku Mozilla Firefox; funkcionalnost je omogućena prema zadanim postavkama, a od vas će se to zatražiti kad Firefox prepozna da ste upisali korisničko ime i lozinku za prijavu.
Korisnici Firefoxa mogu omogućiti glavnu lozinku za zaštitu lozinki kodiranjem tako da lokalni akteri ne mogu samo pristupiti bazi podataka lozinki. Spremanje zaporke upravljate otprilike: postavke # privatnost.
Ako ne želite da Firefox sprema lozinke, samo poništite odabir opcije 'Zapamti prijave i lozinke za web stranice' i to je to. Da biste postavili glavnu lozinku, potvrdite okvir 'koristi glavnu lozinku' i slijedite čarobnjaka za korištenje šifriranja za spremanje lozinki.
Adblock Plus majstor Wladimir Palant analiziraju Nedavno je glavni kôd zaporke Firefoxa otkrio da implementacija glavne lozinke u Firefoxu i ostalim proizvodima koji kôd dijele s Firefoxom, poput Thunderbird-a, ima slabost.
Međutim, kad sam pogledao izvorni kod, na kraju sam pronašao funkciju sftkdb_passwordToKey () koja lozinku pretvara u šifrirani ključ pomoću primjene hash-a SHA-1 na niz koji se sastoji od slučajne soli i stvarne glavne lozinke. Svi koji su ikad osmislili funkciju prijave na web mjestu vjerojatno će ovdje vidjeti crvenu zastavu.
Iako je implementacija Firefoxa brza, ona istovremeno čini grubo prisiljavanje glavne lozinke brzo. Palant sugerira da bi napadači mogli izračunati do 8,5 milijardi SHA-1 heševa u sekundi koristeći jednu Nvidia GTX 1080 video karticu i da će im trebati oko minutu da probiju prosječne glavne lozinke zbog toga.
Iako bi jače lozinke produžile vrijeme potrebno za napad na glavnu lozinku, napadači s dovoljno vremena ili resursa mogli bi srušiti većinu matičnih lozinki koje se koriste.
No glavna lozinka štiti od neodobrenih pokušaja pristupa bazi podataka lozinki.
Dodana je pogreška Mozillina Bugzilla web stranicu prije devet godina koja je istakla to pitanje. Tada je prijedlog Justina Dolskea bio povećati broj ponavljanja kako bi se povećalo vrijeme potrebno za izvođenje grubih napada protiv matične lozinke Firefoxa.
Veći broj iteracija učinio bi ovo otpornijim na grubo forsiranje (povećanjem troškova testiranja lozinke), PKCS # 5 spec. Sugerira „skromnu vrijednost“ od 1000 iteracija. A to je bilo prije 10 godina. :)
Palant je poslao poruku bugu koja ga je oživjela s limba. Nekoliko zaposlenika i programera tvrtke Mozilla odgovorilo je, i čini se da će se problem ipak riješiti.
Robert Relyea predložio je promjenu broja ponavljanja kako bi se riješio problem. To bi poboljšalo sigurnost glavne lozinke bez utjecaja na pohranjene lozinke u bazi podataka.
Mozilla je lansirala alfa Lockboxa , odnedavno novi upravitelj lozinki za Firefox. Organizacija je pustila alfu kao proširenje preglednika u svrhu testiranja, ali Lockbox bi na kraju mogao zamijeniti zadani upravitelj lozinki Firefox preglednika.
Jedna osnovna razlika između trenutnog upravitelja lozinki za Firefox i Lockbox je oslanjanje na Firefox račun potonjeg.
Završne riječi
Dakle, što biste trebali učiniti ako koristite Firefoxov zadani upravitelj zaporki i postavite glavnu lozinku? Većina korisnika Firefoxa vjerojatno ne mora brinuti o problemu jer se neće susresti sa situacijama kada će netko silom nadoknaditi glavnu lozinku.
Oni koji su zabrinuti zbog problema mogu povećati duljinu glavne lozinke ili u međuvremenu prebaciti na drugi upravitelj lozinki.
Moj osobni favorit je KeePass , upravitelja lozinki za radnu površinu, ali možete koristiti internetska rješenja kao što su LastPass i ako vam je potrebna lakša sinkronizacija.
Sad Ti : Koristite li upravitelj lozinki Firefox? (preko Računalo )
Povezani članci
- Firefox 29: spremite i ispunite lozinke za automatsko dovršavanje = 'isključeno'
- Lozinke Firefoxa ne mogu se sinkronizirati ako koristite glavnu lozinku
- Kako uvesti oznake, lozinke i ostale podatke u Firefox
- Mozilla poboljšava upravljanje lozinkom u Firefoxu za Android
- Mozilla će poboljšati upravitelja lozinki u Firefoxu 32