Firefox'un Parola Yöneticisinin bir kusuru var, ancak düzeltilecek

Sorunları Ortadan Kaldırmak Için Enstrümanımızı Deneyin

Parolaları Mozilla Firefox web tarayıcısına kaydedebilirsiniz; işlevsellik varsayılan olarak etkindir ve Firefox oturum açmak için bir kullanıcı adı ve parola yazdığınızı algıladığında bunu yapmanız istenir.

Firefox kullanıcıları, şifreleri şifrelemeyle korumak için bir ana şifreyi etkinleştirebilir, böylece yerel aktörler sadece şifre veritabanına erişemez. Parola depolamayı şu konularda kontrol edersiniz: tercihler # gizlilik.

Firefox'un şifreleri kaydetmesini istemiyorsanız, 'Web siteleri için girişleri ve şifreleri hatırla' seçeneğinin işaretini kaldırmanız yeterlidir. Bir ana parola oluşturmak için, 'ana parola kullan' kutusunu işaretleyin ve parolalarınızı kaydetmek için şifrelemeden yararlanmak için sihirbazı izleyin.

firefox master password

Adblock Plus beyni Wladimir Palant analiz Son zamanlarda Firefox'un ana şifre kodu ve Firefox'ta ve Thunderbird gibi Firefox ile kod paylaşan diğer ürünlerde ana şifre uygulamasının bir zayıflığı olduğunu keşfetti.

Bununla birlikte, kaynak koduna baktığımda, sonunda rastgele bir tuzdan ve gerçek ana parolanızdan oluşan bir dizeye SHA-1 karması uygulayarak bir parolayı bir şifreleme anahtarına dönüştüren sftkdb_passwordToKey () işlevini buldum. Bir web sitesinde bir giriş işlevi tasarlayan herhangi biri muhtemelen burada kırmızı bayrağı görecektir.

Firefox'un uygulaması hızlı olsa da, aynı zamanda ana şifreyi kaba zorlamayı da hızlandırır. Palant, saldırganların tek bir Nvidia GTX 1080 ekran kartı kullanarak saniyede 8,5 milyar SHA-1 karma değerini hesaplayabileceğini ve bu nedenle ortalama ana parolaları kırmanın yaklaşık bir dakika süreceğini öne sürüyor.

Daha güçlü parolalar ana parolaya saldırmak için gereken süreyi uzatırken, yeterli zamana veya kaynağa sahip saldırganlar en sonunda kullanımda olan ana parolaların çoğunu kırabilir.

Ancak ana parola, parola veritabanına basit olmayan erişim girişimlerine karşı koruma sağlamaz.

Sayfasına bir hata eklendi Mozilla Bugzilla 9 yıl önce konuyu vurgulayan web sitesi. Justin Dolske'nin önerisi o zamanlar Firefox'un ana şifresine karşı kaba kuvvet saldırıları çalıştırmak için gereken süreyi artırmak için yineleme sayısını artırmaktı.

Daha yüksek bir yineleme sayısı, bunu kaba zorlamaya karşı daha dirençli hale getirir (şifre test etme maliyetini artırarak), PKCS # 5 özelliği, 1000 yinelemelik 'mütevazı bir değer' önerir. Ve bu 10 yıl önceydi. :)

Palant, hataya, onu belirsizlikten kurtaran bir mesaj gönderdi. Birkaç Mozilla çalışanı ve geliştiricisi yanıt verdi ve sonuçta sorun çözülecekmiş gibi görünüyor.

Robert Relyea, sorunu çözmek için yineleme sayısını değiştirmeyi önerdi. Bu, veritabanında saklanan parolaları etkilemeden ana parolanın güvenliğini artıracaktır.

Mozilla, bir Lockbox alfa başlattı , yakın zamanda Firefox için yeni bir şifre yöneticisi. Kuruluş, alfa'yı test amacıyla bir tarayıcı uzantısı olarak yayınladı, ancak Lockbox sonunda Firefox tarayıcısının varsayılan şifre yöneticisinin yerini alabilir.

Firefox'un mevcut şifre yöneticisi ile Lockbox arasındaki temel farklardan biri, Firefox'un bir Firefox hesabına güvenmesidir.

Kapanış Sözleri

Öyleyse, Firefox'un varsayılan şifre yöneticisini kullanıyorsanız ve bir ana şifre belirlediyseniz ne yapmalısınız? Çoğu Firefox kullanıcısı, birinin ana parolayı zorlayacağı durumlarla karşılaşmayacağından büyük olasılıkla sorun hakkında endişelenmek zorunda kalmayacaktır.

Konuyla ilgilenenler ana parolanın uzunluğunu artırabilir veya bu arada farklı bir parola yöneticisine geçebilir.

Benim kişisel favorim KeePass , bir masaüstü şifre yöneticisi, ancak gibi çevrimiçi çözümleri de kullanabilirsiniz. Son Geçiş daha kolay senkronizasyona ihtiyacınız varsa.

Şimdi sen : Firefox'un şifre yöneticisini kullanıyor musunuz? (üzerinden Bleeping Bilgisayar )

İlgili Makaleler