web-dev-qa-db-ja.com

マスターパスワードを使用してFirefoxの手で私のパスワードはどのくらい安全ですか?

25文字を超えるマスターパスワードを使用して、自分のパスワードを記憶するためにFirefoxに依存しています。この設定はどの程度安全ですか?

37

つまり、FirefoxはCBCモードでマスターパスワードを使用してトリプルDES=を使用します。

詳細:このトピックに関する素敵な記事はこちら: http://luxsci.com/blog/master-password-encryption-in-firefox-and-Thunderbird.html そして、あなたがいくつかの詳細が必要な場合、ここにmozillaZineの記事があります: http://kb.mozillazine.org/Master_passwordこの記事 は、主要なブラウザ間の詳細な比較を提供します。

この方法でパスワードを保存しても安全だと考えられていますが、私はソフトウェアを信頼していません。多分それは妄想に聞こえるかもしれませんが、私たちは脆弱性がどこに隠れているかを知ることはできません。

26
anonymous

「私のパスワードは安全ですかFirefoxの場合マスターパスワードを使用していますか?」と回答するにはFirefoxに悪用可能なバグがある場合、パスワードにどれだけの暗号化が施されていても安全ではありません。 「Firefoxがエクスプロイトの点で利用可能な最も安全なブラウザであり、プラグインを無視していると仮定して...」という質問で始まっていたら、答えは無関係であることに同意します。キーストロークロギングの影響を受けないクリックインターフェイスが使用されている場合、ブラウザのキーストロークロガーを使用しても、パスワードは安全である可能性があります。 「ブラウザのマン」がいる場合、パスワードの物理的な入力を傍受できます。Mozillaがキー押下をエミュレートすると、これらも傍受されます。 Firefoxがより直接的なメモリアクセスを使用している場合でも、傍受されても驚かないでしょう。

「Man-in-the-browser」はマシンレベルのルートキットではなく、アプリケーションレベルです。最も一般的なのは悪意のあるAJAXこれはすべてのキーストロークを簡単に聞くことができる-つまりAJAX 101です。あるいは、ブラウザまたはプラグイン。

「ブラウザー内での攻撃」を軽減するには、バンキング、メールアカウント、ClipperZなどのためにサイロ化されたいくつかの異なるfirefoxプロファイルを使用するか、Qubes-OSを使用します。

「man-in-the-machine」またはシステムレベルのルートキットがある場合、KeePassX、ClipperZ、Firefoxのいずれに保存されているかに関係なく、すべてのパスワードは所有されます。

2
rjt

Firefoxはかなり弱いハッシュ方式を使用します。SHA-1の1回の反復だけです。これを補うためにより安全なパスワードを使用することができますが、LastPassのようなものが提供するものよりも安全ではありません。

Wladimir Palant(Adblock Plusの作成者)が これについての投稿を2018年3月に投稿

マスターパスワードを定義せずにパスワードを保存することは、プレーンテキストで保存することと同じであることは一般的な知識です。それらは引き続きlogins.jsonファイルで暗号化されますが、暗号化キーは何も保護されずにkey3.dbファイルに保存されます。

ソースコードを調べたところ、ランダムなソルトと実際のマスターパスワードで構成される文字列にSHA-1ハッシュを適用することにより、パスワードを暗号化キーに変換するsftkdb_passwordToKey()関数が最終的に見つかりました。これまでにWebサイトでログイン機能を設計したことのある人なら誰でも、ここで警告が表示されるでしょう。この記事はそれをうまくまとめています:

約3億2,000万のハッシュのうち、116を除くすべてのSHA-1ハッシュを回復でき、成功率は約99.9999%でした。

ここでの問題は、GPUはSHA-1ハッシュの計算に非常に優れているということです。この記事の数値から判断すると、1つのNvidia GTX 1080グラフィックスカードで85億のSHA-1ハッシュ/秒を計算できます。つまり、毎秒85億のパスワード推測をテストします。また、人間は強力なパスワードを選択するのが非常に苦手です。この記事では、平均的なパスワードは40ビットに過ぎないと推定しており、その推定値は他のいくつかのパスワードよりもすでに高くなっています。 40ビットのパスワードを推測するには、平均239回の推測をテストする必要があります。計算をすれば、パスワードを解読するのに平均してほんの1分しかかかりません。もちろん、より強力なパスワードを選択することもできます。しかし、覚えられるかなり強力なパスワードを見つけることは、非常に困難です。

これには 10年前のバグ があり、2019年8月の時点でまだオープンしています。

1
mic