Firefox's Password Manager har en fel, men det kommer att åtgärdas

Prova Vårt Instrument För Att Eliminera Problem

Du kan spara lösenord i webbläsaren Mozilla Firefox; funktionaliteten är aktiverad som standard, och du uppmanas att göra det när Firefox inser att du skrev ett användarnamn och lösenord för att logga in.

Firefox-användare kan aktivera ett huvudlösenord för att skydda lösenorden med kryptering så att lokala aktörer inte bara får åtkomst till lösenordsdatabasen. Du styr lösenordslagring på om: preferenser # sekretess.

Om du inte vill att Firefox ska spara lösenord avmarkerar du bara 'Kom ihåg inloggningar och lösenord för webbplatser' och det är det. För att ställa in ett huvudlösenord markerar du rutan 'använd ett huvudlösenord' och följer guiden för att använda kryptering för att spara dina lösenord.

firefox master password

Adblock Plus mastermind Wladimir Palant analyseras Firefox huvudkod för nyckelord upptäckte nyligen och upptäckte att implementeringen av huvudlösenordet i Firefox och andra produkter som delar kod med Firefox som Thunderbird har en svaghet.

Men när jag tittade på källkoden hittade jag så småningom funktionen sftkdb_passwordToKey () som konverterar ett lösenord till en krypteringsnyckel med hjälp av SHA-1 hashing på en sträng som består av ett slumpmässigt salt och ditt faktiska huvudlösenord. Alla som någonsin designat en inloggningsfunktion på en webbplats kommer förmodligen att se den röda flaggan här.

Medan Firefox implementering är snabb, gör det samtidigt brute att tvinga huvudlösenordet också snabbt. Palant föreslår att angripare kan beräkna upp till 8,5 miljarder SHA-1-hascher per sekund med ett enda Nvidia GTX 1080-videokort och att det skulle ta ungefär en minut att knäcka genomsnittliga huvudlösenord på grund av detta.

Medan starkare lösenord skulle förlänga den tid det tar att attackera huvudlösenordet, kan angripare med tillräckligt med tid eller resurser så småningom kunna knäcka de flesta huvudlösenord som används.

Huvudlösenordet skyddar dock mot osofistikerade försök att komma åt lösenordsdatabasen.

Ett fel har lagts till Mozillas Bugzilla webbplats för nio år sedan som lyfte fram problemet. Justin Dolskes förslag då var att öka iterationsräkningen för att öka tiden det tar att köra brute force attacker mot huvudlösenordet för Firefox.

Ett högre iterationsantal skulle göra detta mer motståndskraftigt mot brute-tvingning (genom att öka kostnaden för att testa lösenord), föreslår PKCS # 5-specifikationen ett 'blygsamt värde' på 1000 iterationer. Och det var för tio år sedan. :)

Palant publicerade ett meddelande till felet som återupplivade det från limbo. Flera anställda och utvecklare av Mozilla svarade och det ser ut som om problemet trots allt kommer att hanteras.

Robert Relyea föreslog att ändra iterationsräkningen för att ta itu med problemet. Detta skulle förbättra huvudlösenordets säkerhet utan att påverka lagrade lösenord i databasen.

Mozilla lanserade en alfa av Lockbox , en ny lösenordshanterare för Firefox, nyligen. Organisationen släppte alfa som en webbläsarextension för teständamål men Lockbox skulle kunna ersätta standardlösenordshanteraren för Firefox-webbläsaren så småningom.

En viktig skillnad mellan den nuvarande lösenordshanteraren för Firefox och Lockbox är förlitandet på ett Firefox-konto för det senare.

Stängande ord

Så vad ska du göra om du använder Firefox's standardlösenordshanterare och har skapat ett huvudlösenord? De flesta Firefox-användare behöver förmodligen inte oroa sig för problemet eftersom de inte kommer att stöta på situationer där någon kommer att tvinga fram huvudlösenordet.

De som är oroliga för problemet kan öka längden på huvudlösenordet eller byta till ett annat lösenordshanterare under tiden.

Min personliga favorit är KeePass , en skrivbordslösenordshanterare, men du kan använda onlinelösningar som Lastpass också om du behöver enklare synkronisering.

Nu du : Använder du Firefox's lösenordshanterare? (via Blödande dator )

Relaterade artiklar