למנהל הסיסמאות של פיירפוקס יש פגם, אך הוא יתוקן

• קטגוריה: פיירפוקס

נסה את הכלי שלנו לביטול בעיות

בחר במערכת ההפעלה Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro בחר תוכנית השלכה (אופציונלית) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

תאר את הבעיה שלך

לקבל תשובה

שלח לי בדוא"ל הצג באתר

אתה יכול לשמור סיסמאות בדפדפן האינטרנט של Mozilla Firefox; הפונקציונליות מופעלת כברירת מחדל, ואתה מתבקש לעשות זאת כאשר פיירפוקס מזהה שהקלדת שם משתמש וסיסמא כדי להיכנס.

משתמשי Firefox עשויים לאפשר סיסמת אב להגן על הסיסמאות באמצעות הצפנה, כך ששחקנים מקומיים לא יוכלו רק לגשת למסד הנתונים של הסיסמה. אתה שולט באחסון סיסמאות על אודות: העדפות # פרטיות.

אם אינך רוצה ש- Firefox ישמור סיסמאות, אתה פשוט בטל את הסימון של 'זכור כניסות וסיסמאות לאתרים' וזהו. כדי להגדיר סיסמת אב, סמן את התיבה 'השתמש בסיסמת אב' ובצע את האשף כדי להשתמש בהצפנה לשמירת הסיסמאות שלך.

אדמבלוק פלוס המוח ולדימיר פאלנט מְנוּתָח קוד הסיסמה הראשי של פיירפוקס לאחרונה וגילה כי ליישום סיסמת האב בפיירפוקס ובמוצרים אחרים שחולקים קוד עם פיירפוקס כמו Thunderbird, יש חולשה.

עם זאת, כשבחנתי את קוד המקור, מצאתי בסופו של דבר את הפונקציה sftkdb_passwordToKey () שממירה סיסמה למפתח הצפנה באמצעות החלת hashing SHA-1 על מחרוזת המורכבת ממלח אקראי וסיסמת האב שלך בפועל. כל מי שאי פעם תכנן פונקציית כניסה באתר, כנראה יראה כאן את הדגל האדום.

בעוד שהיישום של פיירפוקס מהיר, הוא הופך באותו זמן לאכוף את סיסמת המאסטר במהירות. פלנט מציע שתוקפים יוכלו לחשב עד 8.5 מיליארד חשיש SHA-1 בשנייה באמצעות כרטיס מסך יחיד של Nvidia GTX 1080 וכי ייקח בערך דקה לפצח סיסמאות אב ממוצעות בגלל זה.

בעוד שסיסמאות חזקות יותר יאריכו את הזמן שלוקח לתקוף את סיסמת המאסטר, תוקפים עם מספיק זמן או משאבים יוכלו בסופו של דבר לפצח את רוב סיסמאות האב שנמצאות בשימוש.

עם זאת, סיסמת המאסטר מגנה מפני ניסיונות לא מתוחכמים לגשת למסד הנתונים של הסיסמאות.

נוספה באג ל- הבוגזילה של מוזילה אתר לפני תשע שנים שהדגיש את הנושא. ההצעה של ג'סטין דולסקה באותה תקופה הייתה להגדיל את ספירת האיטרציה כדי להגדיל את הזמן שלוקח להפעיל פיגועי כוח ברוטו כנגד סיסמת המאסטר של פיירפוקס.

ספירת איטרציה גבוהה יותר תהפוך את זה ליותר עמיד בפני אילוץ ברוט (על ידי הגדלת עלות בדיקת הסיסמה), מפרט ה- PKCS # 5 מציע 'ערך צנוע' של 1000 איטרציות. וזה היה לפני 10 שנים. :)

פאלנט פרסם הודעה לבאג שחידשה אותו מהלימבו. כמה עובדי ומפתחי מוזילה ענו, ונראה כאילו הבעיה תטופל בסופו של דבר.

רוברט רליאה הציע לשנות את ספירת האיטרציה כדי לטפל בבעיה. זה ישפר את האבטחה של סיסמת האב בלי להשפיע על סיסמאות מאוחסנות בבסיס הנתונים.

מוזילה השיקה אלפא של לוקבוקס , מנהל סיסמאות חדש עבור Firefox, לאחרונה. הארגון שיחרר את האלפא כהרחבת דפדפן למטרות בדיקה אך Lockbox יכול להחליף את מנהל הסיסמאות המוגדר כברירת מחדל של דפדפן Firefox בסופו של דבר.

ההבדל העיקרי בין מנהל הסיסמאות הנוכחי של Firefox לבין Lockbox הוא ההסתמכות על חשבון Firefox של האחרון.

מילות סגירה

אז מה עליכם לעשות אם אתם משתמשים במנהל הסיסמאות המוגדר כברירת מחדל של פיירפוקס והגדרתם סיסמת אב? מרבית משתמשי פיירפוקס כנראה לא צריכים לדאוג לנושא כיוון שהם לא יתקלו במצבים בהם מישהו ישים את כוחו של סיסמת האב.

המודאגים מהנושא עשויים להגדיל את אורך סיסמת האב או לעבור למנהל סיסמאות אחר בינתיים.

החביב האישי שלי הוא KeePass , מנהל סיסמאות שולחן עבודה, אך אתה יכול להשתמש בפתרונות מקוונים כגון מעבר אחרון וגם אם אתה זקוק לסנכרון קל יותר.

עכשיו אתה : האם אתה משתמש במנהל הסיסמאות של Firefox? (באמצעות מחשב מדמם )

מאמרים קשורים

• פיירפוקס 29: שמור ומלא סיסמאות אוטומטיות להשלמה = 'כבוי'
• לא ניתן לסנכרן סיסמאות פיירפוקס אם אתה משתמש בסיסמת אב
• כיצד לייבא סימניות, סיסמאות ונתונים אחרים ל- Firefox
• מוזילה משפרת את ניהול הסיסמאות בפיירפוקס לאנדרואיד
• מוזילה לשיפור מנהל הסיסמאות בפיירפוקס 32