Firefoxのパスワードマネージャに問題がありますが、修正される予定です

Firefox

パスワードはMozilla Firefox Webブラウザーに保存できます。この機能はデフォルトで有効になっており、Firefoxがユーザー名とパスワードを入力してログインしたことを認識すると、有効にするように求められます。

Firefoxユーザーは、マスターパスワードを有効にして暗号化でパスワードを保護し、ローカルアクターがパスワードデータベースにアクセスするだけではないようにすることができます。 about：preferences＃privacyでパスワードの保存を制御します。

Firefoxにパスワードを保存させたくない場合は、「Webサイトのログイン名とパスワードを記憶する」のチェックを外すだけです。マスターパスワードを設定するには、[マスターパスワードを使用する]チェックボックスをオンにし、ウィザードに従って暗号化を使用してパスワードを保存します。

firefox master password

Adblock Plusマスターマインドウラジミールパラント分析した Firefoxのマスターパスワードコードは最近、FirefoxとThunderbirdなどのFirefoxとコードを共有する他の製品のマスターパスワード実装に弱点があることを発見しました。

しかし、ソースコードを調べたところ、ランダムなソルトと実際のマスターパスワードで構成される文字列にSHA-1ハッシュを適用することにより、パスワードを暗号化キーに変換するsftkdb_passwordToKey（）関数を見つけました。これまでにWebサイトでログイン機能を設計したことのある人なら誰でも、ここで危険信号を目にするでしょう。

Firefoxの実装は高速ですが、同時に、ブルートブルートによるマスターパスワードの強制も高速になります。パラントは、攻撃者が単一のNvidia GTX 1080ビデオカードを使用して1秒あたり最大85億のSHA-1ハッシュを計算でき、そのため平均マスターパスワードを解読するのに約1分かかると示唆しています。

強力なパスワードを使用すると、マスターパスワードを攻撃するのにかかる時間が長くなりますが、十分な時間またはリソースを持つ攻撃者は、使用中のほとんどのマスターパスワードを最終的に解読できます。

ただし、マスターパスワードは、パスワードデータベースにアクセスするための単純な試みから保護します。

バグが追加されました MozillaのBugzilla 9年前に問題を強調したウェブサイト。 Justin Dolskeの当時の提案は、Firefoxのマスターパスワードに対してブルートフォース攻撃を実行するのにかかる時間を増やすために反復回数を増やすことでした。

イテレーション数が多いほど、ブルートフォースに対する耐性が高まります（パスワードのテストコストが増加するため）。PKCS＃5仕様では、1000回のイテレーションという「適度な値」が推奨されています。それが10年前のことです。 :)

パラントは、リンボから復活したバグにメッセージを投稿しました。何人かのMozillaの従業員と開発者が答えました、そして結局問題は処理されるように見えます。

Robert Relyeaさんは、問題に対処するために反復回数を変更することを提案しました。これにより、データベースに保存されているパスワードに影響を与えることなく、マスターパスワードのセキュリティが向上します。

Mozillaがロックボックスのアルファ版をローンチ、最近Firefoxの新しいパスワードマネージャ。組織はテスト用のブラウザー拡張機能としてアルファ版をリリースしましたが、最終的にはロックボックスがFirefoxブラウザーのデフォルトのパスワードマネージャーを置き換える可能性があります。

Firefoxの現在のパスワードマネージャーとLockboxの主な違いの1つは、後者のFirefoxアカウントへの依存です。

おわりに

では、Firefoxのデフォルトのパスワードマネージャーを使用していて、マスターパスワードを設定している場合はどうすればよいでしょうか。ほとんどのFirefoxユーザーは、誰かがマスターパスワードをブルートフォースで強制する状況に遭遇しないため、おそらくこの問題を心配する必要はありません。

この問題を懸念している人は、当面の間、マスターパスワードの長さを長くしたり、別のパスワードマネージャーに切り替えたりする可能性があります。

私の個人的なお気に入りはキーパス、デスクトップパスワードマネージャーですが、次のようなオンラインソリューションを使用できます。 LastPass また、より簡単な同期が必要な場合も同様です。

では、あなた ：Firefoxのパスワードマネージャを使用していますか？（経由ブリーピングコンピュータ）

関連記事

Firefox 29：autocomplete = 'off'パスワードを保存して入力する
マスターパスワードを使用している場合、Firefoxパスワードを同期できない
ブックマーク、パスワード、その他のデータをFirefoxにインポートする方法
MozillaがAndroid版Firefoxのパスワード管理を改善
MozillaがFirefox 32のパスワードマネージャーを改善