Firefox's Password Manager har en fejl, men den vil blive rettet

Du kan gemme adgangskoder i Mozilla Firefox webbrowser; funktionaliteten er som standard aktiveret, og du bliver bedt om at gøre det, når Firefox genkender, at du har indtastet et brugernavn og en adgangskode for at logge ind.

Firefox-brugere muliggør en hovedadgangskode til at beskytte adgangskoder med kryptering, så lokale aktører måske ikke bare får adgang til adgangskodedatabasen. Du kontrollerer adgangskodelagring om: præferencer # privatliv.

Hvis du ikke vil have Firefox til at gemme adgangskoder, skal du blot fjerne markeringen af ​​'Husk login og adgangskoder til websteder', og det er det. For at opsætte en hovedadgangskode skal du markere afkrydsningsfeltet 'brug en hovedadgangskode' og følge guiden for at gøre brug af kryptering til at gemme dine adgangskoder.

firefox master password

Adblock Plus-mastermind Wladimir Palant analyseret Firefox's hovedadgangskodekode for nylig og opdagede, at implementeringen af ​​hovedadgangskoden i Firefox og andre produkter, der deler kode med Firefox, såsom Thunderbird, har en svaghed.

Men da jeg kiggede på kildekoden, fandt jeg til sidst funktionen sftkdb_passwordToKey (), der konverterer en adgangskode til en krypteringsnøgle ved hjælp af at anvende SHA-1 hashing på en streng, der består af et tilfældigt salt og dit faktiske hovedadgangskode. Enhver, der nogensinde har designet en login-funktion på et websted, vil sandsynligvis se det røde flag her.

Mens Firefox implementering er hurtig, gør det samtidig brute at tvinge hovedadgangskoden hurtig også. Palant antyder, at angribere kunne beregne op til 8,5 milliarder SHA-1-hascher per sekund ved hjælp af et enkelt Nvidia GTX 1080-videokort, og at det ville tage omkring et minut at knække gennemsnitlige master-adgangskoder på grund af dette.

Mens stærkere adgangskoder forlænger den tid, det tager at angribe hovedadgangskoden, vil angribere med tilstrækkelig tid eller ressourcer i sidste ende være i stand til at knække de fleste master-adgangskoder, der er i brug.

Hovedadgangskoden beskytter dog imod usofistikerede forsøg på at få adgang til adgangskodedatabasen.

Der blev tilføjet en fejl til Mozillas Bugzilla for ni år siden, der fremhævede problemet. Justin Dolskes forslag dengang var at øge iterationstallet for at øge den tid, det tager at køre brute force-angreb mod Firefox-hovedadgangskoden.

Et højere iterationstal ville gøre dette mere modstandsdygtigt mod brute-tvang (ved at øge omkostningerne ved at teste adgangskode), PKCS # 5-specifikationen antyder en 'beskeden værdi' på 1000 iterationer. Og det var for 10 år siden. :)

Palant udsendte en besked til fejlen, der genoplivede den fra limbo. Flere Mozilla-medarbejdere og udviklere svarede, og det ser ud til, at problemet trods alt bliver håndteret.

Robert Relyea foreslog at ændre iterationstællingen for at løse problemet. Dette vil forbedre sikkerheden for hovedadgangskoden uden at påvirke gemte adgangskoder i databasen.

Mozilla lancerede en alfa af Lockbox , en ny password manager til Firefox, for nylig. Organisationen frigav alfaen som en browserudvidelse til testformål, men Lockbox kunne erstatte standardadgangskodeadministratoren for Firefox-browseren til sidst.

En hovedforskel mellem den nuværende passwordadministrator for Firefox og Lockbox er afhængigheden af ​​en Firefox-konto til sidstnævnte.

Lukende ord

Så hvad skal du gøre, hvis du bruger Firefox's standardadgangskodehåndtering og har oprettet en hovedadgangskode? De fleste Firefox-brugere behøver sandsynligvis ikke at bekymre sig om problemet, da de ikke vil støde på situationer, hvor nogen vil brute tvinge hovedadgangskoden.

De, der er bekymrede over problemet, kan øge længden på hovedadgangskoden eller skifte til en anden adgangskodeadministrator i mellemtiden.

Min personlige favorit er KeePass , en desktopadgangskodehåndtering, men du kan bruge online-løsninger som f.eks LastPass samt hvis du har brug for lettere synkronisering.

Din tur : Bruger du Firefox's password manager? (via Bleeping Computer )

Relaterede artikler