Ang Password Manager ng Firefox ay may kapintasan, ngunit maaayos ito

• Kategorya: Firefox

Subukan Ang Aming Instrumento Para Sa Pagtanggal Ng Mga Problema

Piliin Ang Operating System Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Pumili Ng Isang Programa Ng Projection (Opsyonal) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Ilarawan Ang Iyong Problema

Kumuha Ng Sagot

Ipadala Ako Sa Pamamagitan Ng Email Ipakita Sa Site

Maaari kang mag-save ng mga password sa Mozilla Firefox web browser; pinagana ang pag-andar sa pamamagitan ng default, at sinenyasan kang gawin ito nang makilala ng Firefox na nag-type ka ng isang username at password upang mag-sign in.

Maaaring paganahin ng mga gumagamit ng Firefox ang isang master password upang protektahan ang mga password na may pag-encrypt upang ang mga lokal na aktor ay maaaring hindi lamang ma-access ang database ng password. Kinokontrol mo ang pag-iimbak ng password sa tungkol sa: kagustuhan # privacy.

Kung hindi mo nais na mai-save ng Firefox ang mga password, tatanggalin mo lang ang 'Tandaan ang mga logins at password para sa mga website' at iyon na. Upang mag-set up ng isang master password, suriin ang kahon na 'gumamit ng master password' at sundin ang wizard upang magamit ang pag-encrypt upang mai-save ang iyong mga password.

Adblock Plus mastermind Wladimir Palant nasuri Ang master password ng Firefox kamakailan at natuklasan na ang pagpapatupad ng master password sa Firefox at iba pang mga produkto na nagbabahagi ng code sa Firefox tulad ng Thunderbird, ay may kahinaan.

Gayunpaman, nang tiningnan ko ang source code, sa huli ay natagpuan ko ang sftkdb_passwordToKey () function na nagko-convert ng isang password sa isang key encryption sa pamamagitan ng paglalapat ng SHA-1 hashing sa isang string na binubuo ng isang random na asin at ang iyong aktwal na password ng master. Ang sinumang nag-disenyo ng isang pag-login function sa isang website ay malamang na makikita ang pulang bandila dito.

Habang ang pagpapatupad ng Firefox ay mabilis, ito sa parehong oras ay gumagawa ng matapang na pagpilit sa master password na mabilis din. Iminumungkahi ni Palant na maaaring makalkula ang mga umaatake ng hanggang sa 8.5 bilyong SHA-1 hashes bawat segundo gamit ang isang solong video ng Nvidia GTX 1080 at na aabutin ng isang minuto upang basagin ang average na mga password ng master dahil doon.

Habang ang mas malakas na mga password ay maaaring pahabain ang oras na kinakailangan upang atakehin ang master password, ang mga umaatake na may sapat na oras o mapagkukunan ay sa wakas magagawang basagin ang karamihan sa mga master password na ginagamit.

Ang master password ay nagpoprotekta laban sa mga hindi nakatalagang pagtatangka upang ma-access ang database ng password, gayunpaman.

Ang isang bug ay naidagdag sa Mozilla's Bugzilla website siyam na taon na ang nakalilipas na naka-highlight sa isyu. Ang mungkahi ni Justin Dolske noon ay upang madagdagan ang bilang ng pag-ulit upang madagdagan ang oras na kinakailangan upang patakbuhin ang mga pag-atake ng lakas ng loob laban sa master password ng Firefox.

Ang isang mas mataas na bilang ng pag-iiba ay gagawing mas lumalaban sa malupit na pagpilit (sa pamamagitan ng pagtaas ng gastos ng pagsubok ng password), ang PKCS # 5 spec ay nagmumungkahi ng isang 'katamtaman na halaga' ng 1000 na mga iterasyon. At iyon ay 10 taon na ang nakalilipas. :)

Nagpost si Palant ng isang mensahe sa bug na muling nabuhay mula sa limbo. Maraming mga empleyado at developer ng Mozilla ang sumagot, at mukhang ang isyu ay hahawak sa lahat.

Iminungkahi ni Robert Relyea na baguhin ang bilang ng pag-ulit upang matugunan ang isyu. Mapapabuti nito ang seguridad ng master password nang hindi naaapektuhan ang naka-imbak na mga password sa database.

Inilunsad ni Mozilla ang isang alpha ng Lockbox , isang bagong manager ng password para sa Firefox, kamakailan. Inilabas ng samahan ang alpha bilang isang extension ng browser para sa mga layunin ng pagsubok ngunit maaaring palitan ng Lockbox ang default na tagapamahala ng password ng browser ng Firefox sa kalaunan.

Ang isang pangunahing pagkakaiba sa pagitan ng kasalukuyang manager ng password ng Firefox at Lockbox ay ang pag-asa sa isang Firefox account ng huli.

Pagsasara ng Mga Salita

Kaya, ano ang dapat mong gawin kung gumamit ka ng default password manager ng Firefox at nag-set up ng isang master password? Karamihan sa mga gumagamit ng Firefox ay marahil ay hindi kailangang mag-alala tungkol sa isyu dahil hindi sila makakatagpo ng mga sitwasyon kung saan mapipilit ang isang tao sa master password.

Ang mga nag-aalala tungkol sa isyu ay maaaring dagdagan ang haba ng master password o lumipat sa ibang password manager para sa pansamantala.

Ang aking personal na paborito ay KeePass , isang manager ng password sa desktop, ngunit maaari kang gumamit ng mga online na solusyon tulad ng HulingPass pati na rin kung kailangan mo ng mas madaling pag-sync.

Ngayon Ikaw : Gumagamit ka ba ng Firefox manager ng password? (sa pamamagitan ng Bleeping Computer )

Mga kaugnay na artikulo

• Firefox 29: i-save at punan ang autocomplete = 'off' password
• Hindi mai-sync ang mga Password ng Firefox kung gumagamit ka ng isang master password
• Paano mag-import ng Mga bookmark, Mga password at iba pang data sa Firefox
• Pinahusay ng Mozilla ang pamamahala ng password sa Firefox para sa Android
• Mozilla upang mapagbuti ang manager ng password sa Firefox 32