web-dev-qa-db-ja.com

アバストAVはFirefoxに保存されたパスワードを読み取ることができる

私の友人は、Firefoxの組み込みのパスワードマネージャー機能を使用して、サイトのパスワードを保存しています。その後、アバスト無料アンチウイルスをインストールした後、アバストUIにパスワードと呼ばれる機能がありました。アクセスすると、Firefoxから保存されているすべてのパスワードが読み取られ、このレポートが表示されます。

これは、パスワードがサードパーティのツール(Avast)によって読み取られ、比較されたことを明確に示しています。 Firefoxはどのようにパスワードを保存しますか?アバストが悪用しているバグですか? enter image description here

39
Ram

Firefoxはどのようにパスワードを保存しますか?

以前の回答はすでに一般的なアイデアを提示していますが、より詳細な説明を提供できます。

Firefoxはすべてのユーザー情報をプロファイルフォルダに保存します。 Windowsでは、%APPDATA%\Mozilla\Firefox\Profiles\の下にあります。 Linuxでは~/.mozilla/firefox/
プロファイルフォルダーは、現在のユーザーに対して初めてFirefoxが起動されたときに作成され、通常、私の場合はy7ogrp85.defaultのようにわかりにくい名前が付けられています。この名前は一意であることを意図しています。

Firefoxのバージョン32以降、プロファイルフォルダーの下にある2つのファイルが、ブラウザー内の保存されたパスワードの管理を担当します。 logins.jsonおよびkey3.dbです。

最初のファイルlogins.jsonには、ユーザー名、パスワード、ドメイン名などの実際の情報が含まれています。また、パスワードを保存しないことを選択したWebサイトもリストされています。ただし、これらは暗号化されています。自分で確認できます。

2番目のファイルkey3.dbは、ユーザー名やパスワードなど、前のファイルにある機密情報を復号化するためのキーを保持します。

現在、この実装は秘密ではありません(結局のところ、Firefoxはオープンソースです)。誰でも、これらのファイルを読み取ることによって誰かのパスワードを入手するための独自の手段を開発できます。実際、それはすでに行われています。そのために PasswordFox と呼ばれるNirsoftのツールを知っています。

注意点が1つあり、ユーザーがFirefox内にマスターパスワードを実装している可能性があります。これにより、key3.dbファイル自体が暗号化されます。しかし、その周りにも手段があり、John the Ripperなど、その目的のために作成されたユーティリティを使用してファイルをブルートフォースすることができます。

アバストで悪用されているバグですか?

いいえ、バグではありません。これはブラウザの設計方法にすぎません(ただし、最初からではなく、最初のバージョンから大幅に進化しています)。かなり便利で安全だと思います。限り:

  • システムが危険にさらされることはありません。
  • 信頼していない人がコンピュータに物理的にアクセスしたり、ファイルやユーザーアカウントに無制限にアクセスしたりすることはできません。
  • PCが盗まれた場合に備えて、ファイルはフルディスク暗号化によって保護されています。

あなたは大丈夫です。いずれにせよ、私は強力なマスターパスワードを設定することをお勧めしますdoさらに、KeepassXCなどの専用パスワードマネージャーに切り替えることをお勧めします。


私はNirsoft、Firefox、KeepassXCと個人的に接続していません。私は単なるユーザーです。)

11
Marc.2377

Firefoxによって保存されたパスワードは、マスターパスワードを設定するまで暗号化されません(暗号化されますが、キーは読み取れます)。これはバグだとは思わないが、それでもすべてのウイルスがそれらのパスワードを読み取ることができる

53
RoiEX

Firefoxでは、パスワードを入力しなくてもパスワードを復号化できます。つまり、復号化キーが必要です。つまり、Firefoxがどのように格納するかを知っているプログラムであれば、それらを見つけることができます。これは、システムに情報を保存するすべてのプログラムに適用されます。暗号化は、保存されたデータにアクセスする前に復号化キーを提供する必要がある場合にのみ強力な防御手段となります。 (これは、提供されたパスワードを復号化キーとして使用することによって実現されることに注意してください-パスワードなし、復号化なし、暗号化データへのアクセスなし。

パスワードを暗号化すると、誰かがメモ帳を使用してパスワードを読み取ることができなくなり、パスワードを見つけるための深刻な試みが妨げられることはありません。

21
Loren Pechtel

残念ながら、サイトのパスワードを取得するために必要なものがすべてコンピューターに保存されている場合は、マルウェアに感染する可能性があります。これを回避する唯一の方法は、(何らかの形で)ユーザー入力を行うことです。基本的には、利便性と安全性のトレードオフです。

信頼できるパスワードマネージャーがなく、サイト固有のパスワードを生成することに少しでも力を入れたい場合(すべてに1つのパスワードを使用するか、すべてを書き留めるか、すべてを覚えようとするよりも優れています)、 Playfair暗号( https://en.wikipedia.org/wiki/Playfair_cipher )のようなものによるサイト名の暗号化を伴うパスワードこれは非常に単純で、手動で(たとえば、自分のコンピューターにいないとき)、または簡単にプログラムできます(キーを入力する必要がある別のアプリケーションとして)。強度を上げる必要がある場合は、結果を繰り返すか、接頭辞または接尾辞を追加します。もちろん、これらのサイト固有のパスワードを自動生成したり、ブラウザにパスワードを記憶させたりしないでください。

0
John Denniston