El Gestor de contrasenyes del Firefox té un defecte, però es solucionarà

Podeu desar les contrasenyes al navegador web Mozilla Firefox; la funcionalitat està habilitada de manera predeterminada i se us demana que ho feu quan Firefox reconegui que heu escrit un nom d’usuari i una contrasenya per iniciar la sessió.

Els usuaris de Firefox poden habilitar una contrasenya principal per protegir les contrasenyes amb xifrat, de manera que els agents locals no només accedeixen a la base de dades de contrasenyes. Controleu l'emmagatzematge de contrasenya sobre: ​​preferències # privadesa

Si no voleu que el Firefox guardi les contrasenyes, només desmarqueu 'Recordeu els registres d’accés i les contrasenyes dels llocs web' i això és. Per configurar una contrasenya mestra, marqueu la casella 'Utilitzeu una contrasenya principal' i seguiu l'assistent per utilitzar el xifratge per desar les vostres contrasenyes.

firefox master password

Adblock Plus mestre Wladimir Palant analitzat El codi de contrasenya principal del Firefox recentment i va descobrir que la implementació de contrasenya mestra a Firefox i altres productes que comparteixen codi amb Firefox com Thunderbird, té una debilitat.

Tanmateix, quan vaig examinar el codi font, vaig trobar la funció sftkdb_passwordToKey () que converteix una contrasenya en una clau de xifratge mitjançant l'aplicació de hashing SHA-1 a una cadena formada per una sal aleatòria i la vostra contrasenya principal. Qualsevol que hagi dissenyat una funció d’inici de sessió en un lloc web probablement vegi la bandera vermella aquí.

Si bé la implementació de Firefox és ràpida, alhora fa que la contrasenya principal també sigui ràpida. Palant suggereix que els atacants podrien calcular fins a 8.500 milions de hashes SHA-1 per segon mitjançant una targeta de vídeo Nvidia GTX 1080 única i que caldria aproximadament un minut per obtenir contrasenyes mitjanes mitjanes.

Si bé les contrasenyes més fortes ampliarien el temps necessari per atacar la contrasenya principal, els atacants amb prou temps o recursos podrien acabar de trencar la majoria de les contrasenyes mestres que s’utilitzin.

No obstant això, la contrasenya mestra protegeix contra els intents no sofisticats d’accés a la base de dades de contrasenyes.

S'ha afegit un error Bugzilla de Mozilla lloc web fa nou anys que destacava el problema. El suggeriment de Justin Dolske aleshores era augmentar el recompte d’iteració per augmentar el temps que es triga a executar atacs de força bruta contra la contrasenya principal de Firefox.

Un percentatge més elevat de la iteració faria que això fos més resistent a la forçada bruta (augmentant el cost de la prova de la contrasenya), les especificacions PKCS # 5 suggereixen un 'valor modest' de 1000 iteracions. I això va ser ara fa 10 anys. :)

Palant va publicar un missatge a l'error que el va revifar des del limbo. Diversos empleats i desenvolupadors de Mozilla van respondre i sembla que el problema serà resolt després de tot.

Robert Relyea va suggerir canviar el recompte de iteracions per solucionar el problema. Això milloraria la seguretat de la contrasenya principal sense afectar les contrasenyes emmagatzemades a la base de dades.

Mozilla va llançar una alfa de Lockbox , recentment un nou gestor de contrasenyes per a Firefox. L’organització va alliberar alpha com a extensió del navegador amb finalitats de prova, però Lockbox podria substituir el gestor de contrasenyes per defecte del navegador Firefox.

Una de les diferències bàsiques entre el gestor de contrasenyes actual de Firefox i Lockbox és la confiança en un compte de Firefox d'aquest últim.

Paraules clausura

Aleshores, què heu de fer si feu servir el gestor de contrasenyes per defecte del Firefox i heu configurat una contrasenya principal? La majoria dels usuaris de Firefox probablement no hagin de preocupar-se del problema ja que no trobaran situacions en què algú forçarà la contrasenya principal.

Els que estiguin preocupats pel problema poden augmentar la durada de la contrasenya principal o canviar a un gestor de contrasenyes diferent durant aquest temps.

El meu favorit personal és KeePass , gestor de contrasenyes d’escriptori, però podeu utilitzar solucions en línia com ara LastPass així com si necessiteu una sincronització més fàcil.

Ara tu : Utilitzeu el gestor de contrasenyes del Firefox? (via Equip de buidatge )

Articles relacionats

  • Firefox 29: guardeu i empleneu les contrasenyes de compleció automàtica = 'fora'
  • Les contrasenyes del Firefox no es poden sincronitzar si utilitzeu una contrasenya principal
  • Com importar adreces d'interès, contrasenyes i altres dades a Firefox
  • Mozilla millora la gestió de contrasenyes a Firefox per a Android
  • Mozilla per millorar el gestor de contrasenyes al Firefox 32