Firefox – słabe szyfrowanie głównego hasła (master password)

Firefox jak każda nowoczesna przeglądarka internetowa posiada własny system przechowywania haseł użytkownika (password manager). Magazyn haseł wymaga posiadania hasła głównego dzięki, któremu będziemy mogli odszyfrować zawartość naszych haseł do poszczególnych usług internetowych. Siła zabezpieczeń menadżera haseł jest tak silna jak siła jego hasła głównego a co za tym idzie – im słabsze hasło (mała złożoność) oraz im gorsze mechanizmy zabezpieczenia (MD5, SHA1 itd.)  tym łatwiejszych dostęp do wszystkich naszych haseł.

Przeglądarka Firefox posiada od 9 lat podatność związaną ze stosowaniem słabego mechanizmu szyfrowania jakim jest SHA1. Złą praktyką jest korzystanie z menadżerów haseł, które są wbudowane w przeglądarkę internetowa, miedzy innymi dlatego, że, np.: większa podatność samej aplikacji jaką jest przeglądarka internetowa, brak odseparowania narzędzia służącego do przeglądania zawartości WWW od narzędzia, które przechowuje hasła do serwisów WWW, słabości wynikające ze źle zaimplementowanymi mechanizmami bezpieczeństwa itd.

Zaleca się:

  • zmiana menadżera hasłem na np. Lastpasss (darmowy wielo-platformowy menadżer haseł – jeden wyciek w historii)
  • używanie złożonych haseł, które będą łatwe w zapamiętaniu, jak, np.: zamiana o->0, e->3, 1->!, s->5/$ itd.
  • przechowywanie haseł na zaszyfrowanym wolumenie, np. veracrypt

Więcej na.:

  • https://palant.de/2018/03/10/master-password-in-firefox-or-thunderbird-do-not-bother
  • https://fossbytes.com/firefox-master-password-weak-encryption-brute-force-one-minute/
2018-03-20T09:10:40+00:00

Zostaw komentarz