阅读:6424回复:24
記住密碼和主控密碼安全嗎?
Firefox 和 Thunderbird 內建的記住密碼和主控密碼功能安全嗎?
記住密碼 有什麼優點和缺點? 主控密碼 有什麼優點和缺點? |
|
|
1楼#
发布于:2012-11-01 16:21
不安全
——因为这个世界上没有绝对的安全,安不安全,取决于你自己对这个世界有多重要。 |
|
|
2楼#
发布于:2012-11-01 16:21
选项-安全-已保存密码-点右下角 显示密码-确定,你看到了啥?
|
|
3楼#
发布于:2012-11-01 16:21
firefox的这个功能几乎等同于明文密码文件,一个恶意js脚本就能抓走然后参考firefox source code中相应的代码crack掉(开源也有危险的地方 )。想省去记密码的麻烦建议还是用lastpass扩展,用256-bit AES加密本地和云端密码文件,传输过程再采用SSL的加密,密码生成器采用PBKDF2-SHA256,同时支持在几种主流浏览器之间共享lastpass,一次添加全部ok。我是找不出比lastpass更好的密码管理软件了。除了最敏感的银行帐号,其它的什么论坛/web邮箱/game的登陆信息都放上去--每次浏览只要输一个lastpass的主控密码(这个记在脑子里,真正的last--pass ),剩下的就是点link啦。我唯一担心的是这个软件迟早会收费--因为实在是太好用啦
|
|
|
4楼#
发布于:2012-11-01 16:21
等同明文密码?我怎么从来没见过有这类能窃取密码的新闻?
|
|
|
5楼#
发布于:2012-11-01 16:21
fang5566:等同明文密码?我怎么从来没见过有这类能窃取密码的新闻?回到原帖 google "crack firefox password",一大把-主密码纯粹是个摆设。例子:http://www.coresec.org/2011/03/06/firefox-how-to-retrieve-and-decrypt-stored-password/ |
|
|
6楼#
发布于:2012-11-01 16:21
大道有狐: 翻譯一下阿? Mozilla 不致力弄好內建的密碼加密?! 盡增加些悲劇的功能... LastPass 也很難懂為啥密碼要儲存在雲端? |
|
|
7楼#
发布于:2012-11-01 16:21
LastPass 也很難懂為啥密碼要儲存在雲端? 跟把钱存在银行一个道理。 |
|
|
8楼#
发布于:2012-11-01 16:21
“翻譯一下阿? ”--大意就是只要别人能取走你pc上firefox配置文件夹下的Signons.sqlite和Key3.db这两个文件,不需要知道你的master password,直接就能用他自己的firefox看到你设定的所有密码的明文。也就是说firefox本身的这个功能可以作为crack工具来用。试问不需要提供master password就能显示所有firefox中密码的明文,是不是意味着你只要离开自己的电脑2分钟,人家用一个u盘就有可能轻松获得你所有存储在firefox中密码?即便是在win7/8甚至linux这样比较安全的os下,一个os潜在的”stack overflow“这样的bug就可以让hacker通过网络取走这两个文件,然后就象你自己一样可以自由使用一切你的账号了--除非你还用了什么硬件加密卡。。。 “LastPass 也很難懂為啥密碼要儲存在雲端?”--1. 和firefox的同步是一个道理,首先多了一个网络备份,不会因为pc系统文件系统出了问题就引起密码数据全丢;2. 因为有我这样的在不同的设备上用不同的浏览器的人 ,而lastpass强大到可以安装在firefox/chrome/safari/opera/ie上,支持win/ios/linux,在不同的os/browser下共享1个lastpass账号,一次设定所有设备全部可用,每个设备上的新建/删除/更新的密码自动同步--真的灰常强大 。例如:如果你想在自己iphone/ipad的safari上免去记住和输入一堆存在pc端firefox上的blog/forum的密码,lastpass就是不二的选择 。 |
|
|
9楼#
发布于:2012-11-01 16:21
你自己做过测试没有。我测试过是不能这样的,还是需要主控密码。 |
|
10楼#
发布于:2012-11-01 16:21
我估计也不是这么简单的,那篇文章底下就有回复,说用了主控密码后,数据库被加密了的。
|
|
|
11楼#
发布于:2012-11-01 16:21
要不大家试试破我这个?
|
|
|
12楼#
发布于:2012-11-01 16:21
如果设置了主密码,那每次存取保存的密码和私钥等敏感数据之前都会询问主密码的,如果忘记了就只能重置删除数据库。
如果没设置主密码且被别人拿到了这两个文件,那估计就可能泄露了,key3是密钥,signons是数据。 |
|
13楼#
发布于:2012-11-01 16:21
可以试试我这个,没设置主密码的拿到这两个文件建个配置覆盖一下,应该就能看到所有存储的密码了,因为私钥就在key3.db里面。
|
|
|
14楼#
发布于:2012-11-01 16:21
|
|
上一页
下一页