Il Password Manager di Firefox ha un difetto, ma verrà risolto

• Categoria: Firefox

Prova Il Nostro Strumento Per Eliminare I Problemi

Seleziona Il Sistema Operativo Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Scegli Un Programma Di Proiezione (Facoltativamente) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Descrivi Il Tuo Problema

Ottieni Una Risposta

Inviami Via E -Mail Mostra Sul Sito

È possibile salvare le password nel browser Web Mozilla Firefox; la funzionalità è abilitata per impostazione predefinita e ti viene chiesto di farlo quando Firefox riconosce che hai digitato un nome utente e una password per accedere.

Gli utenti di Firefox possono abilitare una password principale per proteggere le password con crittografia in modo che gli attori locali non possano semplicemente accedere al database delle password. Puoi controllare l'archiviazione delle password su about: Preferences # privacy.

Se non si desidera che Firefox salvi le password, è sufficiente deselezionare 'Ricorda accessi e password per i siti Web' e il gioco è fatto. Per impostare una password principale, seleziona la casella 'usa una password principale' e segui la procedura guidata per utilizzare la crittografia per salvare le password.

La mente di Adblock Plus Wladimir Palant analizzato Il codice della password principale di Firefox di recente e ha scoperto che l'implementazione della password principale in Firefox e altri prodotti che condividono il codice con Firefox come Thunderbird, ha un punto debole.

Tuttavia, quando ho esaminato il codice sorgente, alla fine ho trovato la funzione sftkdb_passwordToKey () che converte una password in una chiave di crittografia mediante l'applicazione dell'hash SHA-1 a una stringa composta da un salt casuale e dalla tua password principale effettiva. Chiunque abbia mai progettato una funzione di accesso su un sito Web probabilmente vedrà la bandiera rossa qui.

Sebbene l'implementazione di Firefox sia rapida, allo stesso tempo rende veloce anche la forzatura bruta della password principale. Palant suggerisce che gli aggressori potrebbero calcolare fino a 8,5 miliardi di hash SHA-1 al secondo utilizzando una singola scheda video Nvidia GTX 1080 e che ci vorrebbe circa un minuto per decifrare le password principali medie per questo motivo.

Mentre le password più forti estenderebbero il tempo necessario per attaccare la password principale, gli aggressori con abbastanza tempo o risorse sarebbero finalmente in grado di violare la maggior parte delle password principali in uso.

Tuttavia, la password principale protegge da tentativi non sofisticati di accedere al database delle password.

È stato aggiunto un bug a Bugzilla di Mozilla sito web nove anni fa che ha evidenziato il problema. Il suggerimento di Justin Dolske all'epoca era di aumentare il conteggio delle iterazioni per aumentare il tempo necessario per eseguire attacchi di forza bruta contro la password principale di Firefox.

Un conteggio delle iterazioni più alto lo renderebbe più resistente alla forzatura bruta (aumentando il costo del test della password), la specifica PKCS # 5 suggerisce un 'valore modesto' di 1000 iterazioni. E questo è stato 10 anni fa. :)

Palant ha inviato un messaggio al bug che lo ha riportato in vita dal limbo. Diversi dipendenti e sviluppatori di Mozilla hanno risposto e sembra che il problema verrà gestito dopo tutto.

Robert Relyea ha suggerito di modificare il conteggio delle iterazioni per risolvere il problema. Ciò migliorerebbe la sicurezza della password principale senza influire sulle password memorizzate nel database.

Mozilla ha lanciato un alpha di Lockbox , un nuovo gestore di password per Firefox, di recente. L'organizzazione ha rilasciato l'alfa come estensione del browser a scopo di test, ma Lockbox potrebbe eventualmente sostituire il gestore di password predefinito del browser Firefox.

Una differenza fondamentale tra l'attuale gestore di password di Firefox e Lockbox è la dipendenza da un account Firefox di quest'ultimo.

Parole di chiusura

Quindi, cosa dovresti fare se utilizzi il gestore di password predefinito di Firefox e hai impostato una password principale? La maggior parte degli utenti di Firefox probabilmente non deve preoccuparsi del problema in quanto non incontreranno situazioni in cui qualcuno forzerà la password principale.

Coloro che sono preoccupati per il problema possono aumentare la lunghezza della password principale o passare nel frattempo a un gestore di password diverso.

Il mio preferito è KeePass , un gestore di password desktop, ma puoi utilizzare soluzioni online come LastPass anche se hai bisogno di una sincronizzazione più semplice.

Ora tu : Utilizzi il gestore di password di Firefox? (attraverso Bleeping Computer )

Articoli Correlati

• Firefox 29: salva e compila autocomplete = 'off' password
• Le password di Firefox non possono essere sincronizzate se si utilizza una password principale
• Come importare segnalibri, password e altri dati su Firefox
• Mozilla migliora la gestione delle password in Firefox per Android
• Mozilla per migliorare il gestore delle password in Firefox 32