it-swarm-es.com

¿Qué tan seguras están mis contraseñas en manos de Firefox con una contraseña maestra?

Confío en Firefox para recordar mis contraseñas, usando una contraseña maestra de más de 25 caracteres. ¿Qué tan segura es esta configuración?

37

En resumen: Firefox usa triple DES en modo CBC con contraseña maestra.

Más detalles: Un buen artículo sobre este tema está aquí: http://luxsci.com/blog/master-password-encryption-in-firefox-and-Thunderbird.html y si desea más detalles , aquí está el artículo de mozillaZine: http://kb.mozillazine.org/Master_password . Este artículo le ofrece una comparación detallada entre los principales navegadores.

Se cree que es seguro almacenar contraseñas de esa manera, sin embargo, no confío en ningún software. Tal vez suene demasiado paranoico, pero nunca podemos saber dónde se esconde la vulnerabilidad.

26
anonymous

Para responder "¿Qué tan seguras son mis contraseñas en manos de Firefox usando una contraseña maestra?" Si Firefox tiene algún error explotable, entonces no es seguro, independientemente de la cantidad de cifrado que envuelva sus contraseñas. Si la pregunta comenzara con "Asumiendo que Firefox es el navegador más seguro disponible en términos de exploits e ignorando cualquier complemento ...", estaría de acuerdo en que la respuesta puede ser irrelevante. Si se utiliza una interfaz de clic que no es susceptible al registro de pulsaciones de teclas, entonces las contraseñas pueden estar seguras incluso con un registrador de pulsaciones de teclas en el navegador. Si hay un "hombre en el navegador", se puede interceptar físicamente la introducción de una contraseña y si Mozilla emula las pulsaciones de teclas, estas también se interceptarán. Si Firefox usa más acceso directo a la memoria, todavía no me sorprendería si pudiera ser interceptado.

"Man-in-the-browser" no es un rootkit a nivel de máquina, sino a nivel de aplicación. El más común es malicioso AJAX que puede escuchar fácilmente cada pulsación de tecla, es decir AJAX 101. O podría ser un código binario malicioso inyectado de forma remota en el navegador o en un complemento.

Para mitigar "man-in-the-browser", use varios perfiles diferentes de firefox para bancos, cuentas de correo electrónico, ClipperZ y otros, o simplemente use Qubes-OS.

Si hay un "hombre en la máquina" o un rootkit de nivel de sistema, entonces todas sus contraseñas son propiedad, sin importar si están almacenadas en KeePassX o ClipperZ o Firefox.

2
rjt

Firefox utiliza un método de hashing bastante débil: solo una iteración de SHA-1. Podría usar una contraseña más segura para compensar esto, pero es menos segura de lo que ofrecería algo como LastPass.

Wladimir Palant (creador de Adblock Plus) escribió un publicación sobre esto en marzo de 2018 :

Es de conocimiento común que almacenar contraseñas allí sin definir una contraseña maestra es equivalente a almacenarlas en texto sin formato. Si bien aún se cifrarán en el archivo logins.json, la clave de cifrado se almacena en el archivo key3.db sin ninguna protección.

cuando busqué en el código fuente, finalmente encontré la función sftkdb_passwordToKey () que convierte una contraseña en una clave de cifrado mediante la aplicación de hashing SHA-1 a una cadena que consiste en una sal aleatoria y su contraseña maestra real. Cualquiera que haya diseñado una función de inicio de sesión en un sitio web probablemente verá la bandera roja aquí. Este artículo lo resume muy bien:

De los aproximadamente 320 millones de hashes, pudimos recuperar todos menos 116 de los hash SHA-1, una tasa de éxito de aproximadamente 99.9999%.

El problema aquí es: las GPU son extremadamente buenas para calcular hash SHA-1. A juzgar por los números de este artículo, una sola tarjeta gráfica Nvidia GTX 1080 puede calcular 8.5 mil millones de hash SHA-1 por segundo. Eso significa probar 8.500 millones de conjeturas de contraseña por segundo. Y los humanos son notablemente malos para elegir contraseñas seguras. Este artículo estima que la contraseña promedio tiene solo 40 bits de seguridad, y esa estimación ya es más alta que algunas de las otras. Para adivinar una contraseña de 40 bits, deberá probar 239 conjeturas en promedio. Si hace los cálculos, descifrar una contraseña llevará solo un minuto en promedio. Claro, puedes elegir una contraseña más segura. Pero encontrar una contraseña considerablemente más segura que aún puedas recordar será muy difícil.

Hay un error de diez años para esto, que todavía está abierto a partir de agosto de 2019.

1
mic