Le gestionnaire de mots de passe de Firefox a un défaut, mais il sera corrigé

• Catégorie: Firefox

Essayez Notre Instrument Pour Éliminer Les Problèmes

Sélectionnez Le Système D'Exploitation Windows 10 Windows 8 Windows 7 Windows Vista Windows XP macOS Big Sur Ubuntu Debian Fedora CentOS Arch Linux Linux Mint FreeBSD OpenSUSE Manjaro Choisissez Un Programme De Projection (Éventuellement) - Python JavaScript Java C# C++ Ruby Swift PHP Go TypeScript Kotlin Rust Scala Perl

Décrivez Votre Problème

Obtenez Une Réponse

Envoyez-Moi Par E-Mail Montrer Sur Le Site

Vous pouvez enregistrer les mots de passe dans le navigateur Web Mozilla Firefox; la fonctionnalité est activée par défaut, et vous êtes invité à le faire lorsque Firefox reconnaît que vous avez saisi un nom d'utilisateur et un mot de passe pour vous connecter.

Les utilisateurs de Firefox peuvent activer un mot de passe principal pour protéger les mots de passe avec un cryptage afin que les acteurs locaux ne puissent pas simplement accéder à la base de données de mots de passe. Vous contrôlez le stockage des mots de passe sur about: preferences # privacy.

Si vous ne voulez pas que Firefox enregistre les mots de passe, il vous suffit de décocher «Mémoriser les identifiants et les mots de passe pour les sites Web» et c'est tout. Pour configurer un mot de passe principal, cochez la case «utiliser un mot de passe principal» et suivez l'assistant pour utiliser le cryptage pour enregistrer vos mots de passe.

Le cerveau d'Adblock Plus Wladimir Palant analysé Le code du mot de passe principal de Firefox a récemment découvert que l'implémentation du mot de passe principal dans Firefox et d'autres produits qui partagent du code avec Firefox tels que Thunderbird, présente une faiblesse.

Cependant, lorsque j'ai examiné le code source, j'ai finalement trouvé la fonction sftkdb_passwordToKey () qui convertit un mot de passe en clé de cryptage en appliquant le hachage SHA-1 en une chaîne composée d'un sel aléatoire et de votre mot de passe principal réel. Quiconque a déjà conçu une fonction de connexion sur un site Web verra probablement le drapeau rouge ici.

Bien que la mise en œuvre de Firefox soit rapide, elle accélère également le forçage brutal du mot de passe principal. Palant suggère que les attaquants pourraient calculer jusqu'à 8,5 milliards de hachages SHA-1 par seconde en utilisant une seule carte vidéo Nvidia GTX 1080 et qu'il faudrait environ une minute pour déchiffrer les mots de passe principaux moyens à cause de cela.

Alors que des mots de passe plus forts allongeraient le temps nécessaire pour attaquer le mot de passe principal, les attaquants disposant de suffisamment de temps ou de ressources pourraient éventuellement déchiffrer la plupart des mots de passe principaux utilisés.

Le mot de passe principal protège cependant contre les tentatives non sophistiquées d'accéder à la base de données de mots de passe.

Un bug a été ajouté à Bugzilla de Mozilla site Web il y a neuf ans qui mettait en lumière le problème. La suggestion de Justin Dolske à l'époque était d'augmenter le nombre d'itérations pour augmenter le temps nécessaire pour exécuter des attaques par force brute contre le mot de passe principal de Firefox.

Un nombre d'itérations plus élevé rendrait cela plus résistant au forçage brutal (en augmentant le coût du test du mot de passe), la spécification PKCS # 5 suggère une `` valeur modeste '' de 1000 itérations. Et c'était il y a 10 ans. :)

Palant a posté un message sur le bogue qui l'a ressuscité des limbes. Plusieurs employés et développeurs de Mozilla ont répondu, et il semble que le problème sera résolu après tout.

Robert Relyea a suggéré de modifier le nombre d'itérations pour résoudre le problème. Cela améliorerait la sécurité du mot de passe principal sans affecter les mots de passe stockés dans la base de données.

Mozilla a lancé une version alpha de Lockbox , un nouveau gestionnaire de mots de passe pour Firefox, récemment. L'organisation a publié l'alpha en tant qu'extension de navigateur à des fins de test, mais Lockbox pourrait éventuellement remplacer le gestionnaire de mots de passe par défaut du navigateur Firefox.

Une différence fondamentale entre le gestionnaire de mots de passe actuel de Firefox et Lockbox est la dépendance à un compte Firefox de ce dernier.

Mots de clôture

Alors, que devez-vous faire si vous utilisez le gestionnaire de mots de passe par défaut de Firefox et avez configuré un mot de passe principal? La plupart des utilisateurs de Firefox n'ont probablement pas à s'inquiéter du problème car ils ne rencontreront pas de situations où quelqu'un forcera brutalement le mot de passe principal.

Les personnes concernées par le problème peuvent augmenter la longueur du mot de passe principal ou passer à un autre gestionnaire de mots de passe pour le moment.

Mon préféré est KeePass , un gestionnaire de mots de passe de bureau, mais vous pouvez utiliser des solutions en ligne telles que Dernier passage ainsi que si vous avez besoin d'une synchronisation plus facile.

Maintenant, c'est à votre tour : Utilisez-vous le gestionnaire de mots de passe de Firefox? (via Ordinateur Bleeping )

Articles Liés

• Firefox 29: enregistrer et remplir les mots de passe autocomplete = 'off'
• Les mots de passe Firefox ne peuvent pas être synchronisés si vous utilisez un mot de passe principal
• Comment importer des signets, des mots de passe et d'autres données dans Firefox
• Mozilla améliore la gestion des mots de passe dans Firefox pour Android
• Mozilla pour améliorer le gestionnaire de mots de passe dans Firefox 32