Password Manager ของ Firefox มีข้อบกพร่อง แต่จะได้รับการแก้ไข

• หมวดหมู่: Firefox

ลองใช้เครื่องมือของเราเพื่อกำจัดปัญหา

เลือกระบบปฏิบัติการ Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro เลือกโปรแกรมการฉาย (ทางเลือก) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

อธิบายปัญหาของคุณ

รับคำตอบ

ส่งอีเมลถึงฉัน แสดงบนเว็บไซต์

คุณสามารถบันทึกรหัสผ่านในเว็บเบราว์เซอร์ Mozilla Firefox ฟังก์ชันนี้จะเปิดใช้งานโดยค่าเริ่มต้นและคุณจะได้รับแจ้งให้ดำเนินการดังกล่าวเมื่อ Firefox ทราบว่าคุณพิมพ์ชื่อผู้ใช้และรหัสผ่านเพื่อลงชื่อเข้าใช้

ผู้ใช้ Firefox อาจเปิดใช้งานรหัสผ่านหลักเพื่อป้องกันรหัสผ่านด้วยการเข้ารหัสเพื่อให้ผู้ปฏิบัติงานในพื้นที่ไม่เพียงแค่เข้าถึงฐานข้อมูลรหัสผ่าน คุณควบคุมการจัดเก็บรหัสผ่านเกี่ยวกับ: ค่ากำหนด # ความเป็นส่วนตัว

หากคุณไม่ต้องการให้ Firefox บันทึกรหัสผ่านคุณเพียงแค่ยกเลิกการเลือก 'จดจำการเข้าสู่ระบบและรหัสผ่านสำหรับเว็บไซต์' และนั่นคือสิ่งนั้น ในการตั้งรหัสผ่านหลักให้ทำเครื่องหมายที่ช่อง 'ใช้รหัสผ่านหลัก' และทำตามตัวช่วยสร้างเพื่อใช้การเข้ารหัสเพื่อบันทึกรหัสผ่านของคุณ

Adblock Plus ผู้บงการ Wladimir Palant วิเคราะห์ รหัสผ่านหลักของ Firefox เมื่อเร็ว ๆ นี้และค้นพบว่าการใช้รหัสผ่านหลักใน Firefox และผลิตภัณฑ์อื่น ๆ ที่ใช้รหัสร่วมกับ Firefox เช่น Thunderbird มีจุดอ่อน

อย่างไรก็ตามเมื่อฉันดูซอร์สโค้ดในที่สุดฉันก็พบฟังก์ชัน sftkdb_passwordToKey () ที่แปลงรหัสผ่านเป็นคีย์การเข้ารหัสโดยใช้การแฮช SHA-1 กับสตริงที่ประกอบด้วยเกลือแบบสุ่มและรหัสผ่านหลักจริงของคุณ ใครก็ตามที่เคยออกแบบฟังก์ชันล็อกอินบนเว็บไซต์จะเห็นธงสีแดงที่นี่

แม้ว่าการใช้งาน Firefox จะรวดเร็ว แต่ในขณะเดียวกันก็ทำให้การบังคับใช้รหัสผ่านหลักอย่างรวดเร็วเช่นกัน Palant แนะนำว่าผู้โจมตีสามารถคำนวณแฮช SHA-1 ได้มากถึง 8.5 พันล้านแฮชต่อวินาทีโดยใช้การ์ดแสดงผล Nvidia GTX 1080 ตัวเดียวและจะใช้เวลาประมาณหนึ่งนาทีในการถอดรหัสรหัสผ่านหลักโดยเฉลี่ยด้วยเหตุนี้

แม้ว่ารหัสผ่านที่รัดกุมจะช่วยยืดเวลาที่ใช้ในการโจมตีรหัสผ่านหลัก แต่ในที่สุดผู้โจมตีที่มีเวลาหรือทรัพยากรเพียงพอก็จะสามารถถอดรหัสรหัสผ่านหลักส่วนใหญ่ที่ใช้งานอยู่ได้

อย่างไรก็ตามรหัสผ่านหลักจะป้องกันการพยายามเข้าถึงฐานข้อมูลรหัสผ่านที่ไม่ซับซ้อน

มีการเพิ่มข้อบกพร่องใน Bugzilla ของ Mozilla เว็บไซต์เมื่อเก้าปีก่อนที่เน้นประเด็นนี้ ข้อเสนอแนะของ Justin Dolske ในตอนนั้นคือการเพิ่มจำนวนการวนซ้ำเพื่อเพิ่มเวลาในการเรียกใช้การโจมตีแบบดุร้ายกับรหัสผ่านหลักของ Firefox

การนับการวนซ้ำที่สูงขึ้นจะทำให้สิ่งนี้ทนทานต่อการบังคับแบบเดรัจฉาน (โดยการเพิ่มค่าใช้จ่ายในการทดสอบรหัสผ่าน) ข้อมูลจำเพาะของ PKCS # 5 แสดงให้เห็น 'ค่าที่พอประมาณ' ของการทำซ้ำ 1,000 ครั้ง เมื่อ 10 ปีที่แล้ว :)

Palant โพสต์ข้อความถึงจุดบกพร่องที่ฟื้นขึ้นมาจากบริเวณขอบรก พนักงานและนักพัฒนาของ Mozilla หลายคนตอบกลับและดูเหมือนว่าปัญหาจะได้รับการจัดการหลังจากทั้งหมด

Robert Relyea แนะนำให้เปลี่ยนจำนวนการวนซ้ำเพื่อแก้ไขปัญหา สิ่งนี้จะปรับปรุงความปลอดภัยของรหัสผ่านหลักโดยไม่ส่งผลต่อรหัสผ่านที่จัดเก็บไว้ในฐานข้อมูล

Mozilla เปิดตัวอัลฟาของ Lockbox ซึ่งเป็นผู้จัดการรหัสผ่านใหม่สำหรับ Firefox เมื่อเร็ว ๆ นี้ องค์กรเปิดตัวอัลฟ่าเป็นส่วนขยายของเบราว์เซอร์เพื่อวัตถุประสงค์ในการทดสอบ แต่ Lockbox สามารถแทนที่ตัวจัดการรหัสผ่านเริ่มต้นของเบราว์เซอร์ Firefox ได้ในที่สุด

ความแตกต่างหลักอย่างหนึ่งระหว่างตัวจัดการรหัสผ่านปัจจุบันของ Firefox และ Lockbox คือการพึ่งพาบัญชี Firefox รุ่นหลัง

ปิดคำ

ดังนั้นคุณควรทำอย่างไรหากคุณใช้โปรแกรมจัดการรหัสผ่านเริ่มต้นของ Firefox และตั้งรหัสผ่านหลัก ผู้ใช้ Firefox ส่วนใหญ่อาจไม่ต้องกังวลกับปัญหานี้เนื่องจากพวกเขาจะไม่พบกับสถานการณ์ที่ใครบางคนจะบังคับใช้รหัสผ่านหลัก

ผู้ที่กังวลเกี่ยวกับปัญหานี้อาจเพิ่มความยาวของรหัสผ่านหลักหรือเปลี่ยนไปใช้โปรแกรมจัดการรหัสผ่านอื่นในระหว่างนี้

ที่ชอบส่วนตัวคือ KeePass ผู้จัดการรหัสผ่านเดสก์ท็อป แต่คุณสามารถใช้โซลูชันออนไลน์เช่น LastPass เช่นกันหากคุณต้องการการซิงค์ที่ง่ายขึ้น

ตอนนี้คุณ : คุณใช้ตัวจัดการรหัสผ่านของ Firefox หรือไม่? (ผ่าน คอมพิวเตอร์ Bleeping )

บทความที่เกี่ยวข้อง

• Firefox 29: บันทึกและกรอกรหัสผ่าน autocomplete = 'off'
• ไม่สามารถซิงค์รหัสผ่าน Firefox ได้หากคุณใช้รหัสผ่านหลัก
• วิธีการนำเข้าบุ๊กมาร์กรหัสผ่านและข้อมูลอื่น ๆ ไปยัง Firefox
• Mozilla ปรับปรุงการจัดการรหัสผ่านใน Firefox สำหรับ Android
• Mozilla เพื่อปรับปรุงตัวจัดการรหัสผ่านใน Firefox 32