Зберігати паролі в Firefox небезпечно?

Що ми бачимо кожного разу коли завантажуємо переглядач тенет й починаємо працювати/подорожувати по звичним нам інтернетам? Правильно, вікно вводу майстер-пароля, для розблокування збережених ключів від десятків, чи й сотень веб-сайтів. Mozilla Firefox
Якщо ні, то цей допис не для вас, усім іншим варто ознайомитись...

Два слова про те як функціонує Software Security Device - система збереження паролів. Основне завдання майстер-пароля зберігати базу даних з логін/пароль парами від сторонніх очей, якщо мова йде про локальний доступ до ПК й в цілому від хакерів, якщо про віддалений. Після введення вами майстер-пароля розблоковується доступ веб-переглядача до відповідної БД й можна користуватись функцією швидкого логіну одним натисненням кнопки, а також зберігати нові облікові записи. У моєму випадку роль такої кнопки-ключа виконує додаток Secure Login.
Secure Login

Отже, як була виявлена бага і в чому її суть. Час від часу на деяких веб-сайтах змінюється внутрішня структура й для того щоб додаток автологіну ідентифікував правильно відповідну сторінку потрібно заново залогінитись. Так сталось і з google. Не маючи наміру вручну переписувати багатосимвольний пароль, я просто його скопіював, попередньо натиснувши кнопку "Показати паролі"(Налаштування/Безпека/Збережені паролі), щоб таким чином розблокувати їх.

Справа зроблена, але цікавість взяла своє й операція копіювання пароля була здійснення без його розблокування. На моє здивування прихована комбінація символів була справно скопійована й готова до використання. Чим на практиці це може загрожувати? Так як у більшості випадків Software Security Device розблоковується раз на день - з ранку при відкритті браузера, котрий ймовірно працюватиме цілий день, будь-хто за вашої відсутності на робочому місці може скористатись моментом й поцупити важливі дані без додаткових ідентифікацій як це мало б бути. Ймовірно баґ стосується саме локального доступу, але тим не менш залишається достатньо серйозною прогалиною в безпеці Firefox.

MFX, для Enetri

коментарі:

meako 20.09.2011 13:40
Copy password дійсно працює без введення Master-паролю. В принципі, це можна вважати як багом, так і передбачуваною поведінкою. Тому що функція «показати паролі» робить паролі видимими і відповідно їх можна зчитати фотографічно, не контактуючи напряму з вашим комп’ютером.

Функція копіювання пароля його візуально не світить, а якщо зловмисник вже всівся за ваш комп’ютер, то це не баг безпеки firefox, а швидше вашого особистого підходу до безпеки.
Тому що, він наприклад запросто зможе зкопіювати ваш пароль з автозаповнених полів, змінивши їм тип з password на text, або ще десятком інших способів.

З рештою, особисто я користуюся LastPass а вбудований менеджер паролів Fireаox узагалі відключений.
+1MFX 22.09.2011 20:45
Навряд лише ради фотографічого зчитування робили б таку додаткову функцію. Вікно SSD, певною мірою, не пристосоване для візуального зчитування (довгі паролі не поміщаються). А от, що вже дійсно робить ця фіча, то збиває з пантелику. За логікою якщо вже й робити такого роду функціональність то пароль сюди навіщо тулити, просто кнопка показати/приховати? Крім того візуально можна зчитати зкопіпастивши пас в будь яке поле вводу, якщо вже дійсно це потрібно.
Гарному хакеру, в більшості випадків, не потрібен локальний доступ, а в даному випадку маємо "день відкритих дверей".
meako 20.09.2011 13:41
І так, зберігати паролі де завгодно, окрім голови — небезпечно.
Хоча, голова також не найнадійніше сховище.
Створюєте один стійкий пароль, далі http://supergenpass.com/
andriy 24.09.2011 00:18
Була в мене колись ідея зробити систему неявного збереження паролю, суть в тому щоб вона віддавала програмі (або користувачеві) не сам пароль а засолену (хешовану) ним якусь випадкову фразу. Правда цю випадкову фразу повинна представляти програма, а це значить що для стандартних способів авторизації система не підійде.
В моєму коментарі саме про таке і йдеться. Ви вигадуєте стікий пароль, потім чипляєте supergenpass в bookmarks toolbar, і при вході на будь який сайт визиваєте supergenpass, вводите свій пароль, він солиться назвою сайту, вуаля - на кожен сайт маєте окремий стійкий пароль.
andriy 26.09.2011 06:37
Був би радий побачити статтю про цей сервіс ;)
Домовились. Напишу найближчим часом.
+1MFX 24.01.2012 23:52
Сьогодні виявив, що нарешті описаний недолік виправили! Але залишилось невідомим чи допоміг цьому мій багрепорт (https://bugs.launchpad.net/ubuntu/+source/firefox/+bug/852657), чи... не допоміг, адже представник мозілли дав досить прохолодний коментар й після внесення змін ніхто статус бага не змінив, тож можна припустити, що рішення про зміну роботи SSD приймалось не зважаючи на мій допис.

додати коментар: