首页>Firefox 专区>Firefox 正式版和测试版>記住密碼和主控密碼安全嗎?
回复
« 返回列表
1 2 下一页 »
taglife
taglife
千年狐狸
千年狐狸
  • UID38488
  • 注册日期2012-03-20
  • 最后登录2013-04-02
  • 发帖数2052
  • 经验10枚
  • 威望0点
  • 贡献值0点
  • 好评度1点
写私信
阅读:6424回复:24

記住密碼和主控密碼安全嗎?

楼主#
更多 发布于:2012-11-01 16:21
Firefox 和 Thunderbird 內建的記住密碼主控密碼功能安全嗎?
記住密碼 有什麼優點和缺點?
主控密碼 有什麼優點和缺點?
喜欢0
Firefox 開啟安全模式,停用個人設定、佈景主題及擴充套件(無附加元件)測試:
說明 > 重新啟動但停用附加元件(Firefox 4+)
Firefox Profile: 說明 > 疑難排解資訊 > 開啟資料夾
排版引擎:Firefox(Gecko), Opera(Presto), Google Chrome(WebKit),
Safari(WebKit), Internet Explorer(Trident), Konqueror(KHTML)
回复
kmc
kmc
管理员
管理员
  • UID165
  • 注册日期2004-11-25
  • 最后登录2022-09-22
  • 发帖数9186
  • 经验397枚
  • 威望1点
  • 贡献值124点
  • 好评度41点
写私信
  • 忠实会员
  • 终身成就
  • 社区居民
1楼#
发布于:2012-11-01 16:21
不安全
——因为这个世界上没有绝对的安全,安不安全,取决于你自己对这个世界有多重要。
Waterfox Current和Firefox Nightly都用,逐渐走出XUL扩展依赖
回复(0) 喜欢(0)
浮舟
浮舟
狐狸大王
狐狸大王
  • UID35715
  • 注册日期2011-03-26
  • 最后登录2014-06-14
  • 发帖数371
  • 经验17枚
  • 威望0点
  • 贡献值0点
  • 好评度2点
写私信
2楼#
发布于:2012-11-01 16:21
选项-安全-已保存密码-点右下角 显示密码-确定,你看到了啥?
回复(0) 喜欢(0)
大道有狐
大道有狐
狐狸大王
狐狸大王
  • UID37815
  • 注册日期2011-11-19
  • 最后登录2021-05-07
  • 发帖数455
  • 经验270枚
  • 威望0点
  • 贡献值156点
  • 好评度33点
写私信
  • 社区居民
  • 忠实会员
3楼#
发布于:2012-11-01 16:21
firefox的这个功能几乎等同于明文密码文件,一个恶意js脚本就能抓走然后参考firefox source code中相应的代码crack掉(开源也有危险的地方 )。想省去记密码的麻烦建议还是用lastpass扩展,用256-bit AES加密本地和云端密码文件,传输过程再采用SSL的加密,密码生成器采用PBKDF2-SHA256,同时支持在几种主流浏览器之间共享lastpass,一次添加全部ok。我是找不出比lastpass更好的密码管理软件了。除了最敏感的银行帐号,其它的什么论坛/web邮箱/game的登陆信息都放上去--每次浏览只要输一个lastpass的主控密码(这个记在脑子里,真正的last--pass   ),剩下的就是点link啦。我唯一担心的是这个软件迟早会收费--因为实在是太好用啦
至察不明 Lollipop-->Marshmallow
回复(0) 喜欢(0)
fang5566
fang5566
管理员
管理员
  • UID3719
  • 注册日期2005-03-07
  • 最后登录2024-04-29
  • 发帖数18483
  • 经验4837枚
  • 威望5点
  • 贡献值4316点
  • 好评度1116点
写私信
  • 社区居民
  • 最爱沙发
  • 忠实会员
  • 终身成就
4楼#
发布于:2012-11-01 16:21
等同明文密码?我怎么从来没见过有这类能窃取密码的新闻?
Firefox More than meets your experience
回复(0) 喜欢(0)
大道有狐
大道有狐
狐狸大王
狐狸大王
  • UID37815
  • 注册日期2011-11-19
  • 最后登录2021-05-07
  • 发帖数455
  • 经验270枚
  • 威望0点
  • 贡献值156点
  • 好评度33点
写私信
  • 社区居民
  • 忠实会员
5楼#
发布于:2012-11-01 16:21
fang5566:等同明文密码?我怎么从来没见过有这类能窃取密码的新闻?回到原帖


google "crack firefox password",一大把-主密码纯粹是个摆设。例子:http://www.coresec.org/2011/03/06/firefox-how-to-retrieve-and-decrypt-stored-password/
至察不明 Lollipop-->Marshmallow
回复(0) 喜欢(0)
taglife
taglife
千年狐狸
千年狐狸
  • UID38488
  • 注册日期2012-03-20
  • 最后登录2013-04-02
  • 发帖数2052
  • 经验10枚
  • 威望0点
  • 贡献值0点
  • 好评度1点
写私信
6楼#
发布于:2012-11-01 16:21
大道有狐

google "crack firefox password",一大把-主密码纯粹是个摆设。例子:http://www.coresec.org/2011/03/06/firefox-how-to-retrieve-and-decrypt-stored-password/回到原帖

翻譯一下阿?  
Mozilla 不致力弄好內建的密碼加密?! 盡增加些悲劇的功能...
LastPass 也很難懂為啥密碼要儲存在雲端?
Firefox 開啟安全模式,停用個人設定、佈景主題及擴充套件(無附加元件)測試:
說明 > 重新啟動但停用附加元件(Firefox 4+)
Firefox Profile: 說明 > 疑難排解資訊 > 開啟資料夾
排版引擎:Firefox(Gecko), Opera(Presto), Google Chrome(WebKit),
Safari(WebKit), Internet Explorer(Trident), Konqueror(KHTML)
回复(0) 喜欢(0)
kmc
kmc
管理员
管理员
  • UID165
  • 注册日期2004-11-25
  • 最后登录2022-09-22
  • 发帖数9186
  • 经验397枚
  • 威望1点
  • 贡献值124点
  • 好评度41点
写私信
  • 忠实会员
  • 终身成就
  • 社区居民
7楼#
发布于:2012-11-01 16:21
LastPass 也很難懂為啥密碼要儲存在雲端?

跟把钱存在银行一个道理。
Waterfox Current和Firefox Nightly都用,逐渐走出XUL扩展依赖
回复(0) 喜欢(0)
大道有狐
大道有狐
狐狸大王
狐狸大王
  • UID37815
  • 注册日期2011-11-19
  • 最后登录2021-05-07
  • 发帖数455
  • 经验270枚
  • 威望0点
  • 贡献值156点
  • 好评度33点
写私信
  • 社区居民
  • 忠实会员
8楼#
发布于:2012-11-01 16:21

翻譯一下阿?  
Mozilla 不致力弄好內建的密碼加密?! 盡增加些悲劇的功能...
LastPass 也很難懂為啥密碼要儲存在雲端?


“翻譯一下阿?   ”--大意就是只要别人能取走你pc上firefox配置文件夹下的Signons.sqlite和Key3.db这两个文件,不需要知道你的master password,直接就能用他自己的firefox看到你设定的所有密码的明文。也就是说firefox本身的这个功能可以作为crack工具来用。试问不需要提供master password就能显示所有firefox中密码的明文,是不是意味着你只要离开自己的电脑2分钟,人家用一个u盘就有可能轻松获得你所有存储在firefox中密码?即便是在win7/8甚至linux这样比较安全的os下,一个os潜在的”stack overflow“这样的bug就可以让hacker通过网络取走这两个文件,然后就象你自己一样可以自由使用一切你的账号了--除非你还用了什么硬件加密卡。。。

“LastPass 也很難懂為啥密碼要儲存在雲端?”--1. 和firefox的同步是一个道理,首先多了一个网络备份,不会因为pc系统文件系统出了问题就引起密码数据全丢;2. 因为有我这样的在不同的设备上用不同的浏览器的人 ,而lastpass强大到可以安装在firefox/chrome/safari/opera/ie上,支持win/ios/linux,在不同的os/browser下共享1个lastpass账号,一次设定所有设备全部可用,每个设备上的新建/删除/更新的密码自动同步--真的灰常强大 。例如:如果你想在自己iphone/ipad的safari上免去记住和输入一堆存在pc端firefox上的blog/forum的密码,lastpass就是不二的选择  。
至察不明 Lollipop-->Marshmallow
回复(0) 喜欢(0)
royallin
royallin
非常火狐
非常火狐
  • UID29014
  • 注册日期2009-05-31
  • 最后登录2016-12-07
  • 发帖数668
  • 经验46枚
  • 威望0点
  • 贡献值32点
  • 好评度0点
写私信
  • 社区居民
9楼#
发布于:2012-11-01 16:21


大意就是只要别人能取走你pc上firefox配置文件夹下的Signons.sqlite和Key3.db这两个文件,不需要知道你的master password,直接就能用他自己的firefox看到你设定的所有密码的明文。也就是说firefox本身的这个功能可以作为crack工具来用。


  你自己做过测试没有。我测试过是不能这样的,还是需要主控密码。
回复(0) 喜欢(0)
kmc
kmc
管理员
管理员
  • UID165
  • 注册日期2004-11-25
  • 最后登录2022-09-22
  • 发帖数9186
  • 经验397枚
  • 威望1点
  • 贡献值124点
  • 好评度41点
写私信
  • 忠实会员
  • 终身成就
  • 社区居民
10楼#
发布于:2012-11-01 16:21
我估计也不是这么简单的,那篇文章底下就有回复,说用了主控密码后,数据库被加密了的。
Waterfox Current和Firefox Nightly都用,逐渐走出XUL扩展依赖
回复(0) 喜欢(0)
kmc
kmc
管理员
管理员
  • UID165
  • 注册日期2004-11-25
  • 最后登录2022-09-22
  • 发帖数9186
  • 经验397枚
  • 威望1点
  • 贡献值124点
  • 好评度41点
写私信
  • 忠实会员
  • 终身成就
  • 社区居民
11楼#
发布于:2012-11-01 16:21
要不大家试试破我这个?
附件名称/大小 下载次数 最后更新
jzsjl08e.test.zip (2KB)  33 2012-11-02 17:36
Waterfox Current和Firefox Nightly都用,逐渐走出XUL扩展依赖
回复(0) 喜欢(0)
yfdyh000
yfdyh000
千年狐狸
千年狐狸
  • UID29079
  • 注册日期2009-06-07
  • 最后登录2022-05-18
  • 发帖数2262
  • 经验1390枚
  • 威望0点
  • 贡献值52点
  • 好评度139点
写私信
  • 社区居民
  • 最爱沙发
  • 忠实会员
12楼#
发布于:2012-11-01 16:21
如果设置了主密码,那每次存取保存的密码和私钥等敏感数据之前都会询问主密码的,如果忘记了就只能重置删除数据库。
如果没设置主密码且被别人拿到了这两个文件,那估计就可能泄露了,key3是密钥,signons是数据。
回复(0) 喜欢(0)
yfdyh000
yfdyh000
千年狐狸
千年狐狸
  • UID29079
  • 注册日期2009-06-07
  • 最后登录2022-05-18
  • 发帖数2262
  • 经验1390枚
  • 威望0点
  • 贡献值52点
  • 好评度139点
写私信
  • 社区居民
  • 最爱沙发
  • 忠实会员
13楼#
发布于:2012-11-01 16:21
可以试试我这个,没设置主密码的拿到这两个文件建个配置覆盖一下,应该就能看到所有存储的密码了,因为私钥就在key3.db里面。
附件名称/大小 下载次数 最后更新
test.zip (3KB)  28 2012-11-02 19:30
回复(0) 喜欢(0)
royallin
royallin
非常火狐
非常火狐
  • UID29014
  • 注册日期2009-05-31
  • 最后登录2016-12-07
  • 发帖数668
  • 经验46枚
  • 威望0点
  • 贡献值32点
  • 好评度0点
写私信
  • 社区居民
14楼#
发布于:2012-11-01 16:21
yfdyh000:可以试试我这个,没设置主密码的拿到这两个文件建个配置覆盖一下,应该就能看到所有存储的密码了,因为私钥就在key3.db里面。回到原帖

  没设主控密码的不用测试,本来就能看的。
回复(0) 喜欢(0)
上一页
游客

关于FirefoxMozilla 技术支持谋智中国手机版(Beta)了解 Mozilla

返回顶部