Mozilla主控密碼沒有看起來那樣安全

雖然Mozilla Firefox瀏覽器一直是最受歡迎的瀏覽器之一(其他還包括Google Chrome及好幾代的微軟瀏覽器),但它頗受好評的一項安全功能似乎並沒有看起來那麼有效。根據AdBlock Plus擴充套件作者Wladimir Palant的說法,Mozilla Firefox和Thunderbird的“主控密碼”所用加密機制很容易受到暴力破解。

主控密碼主要是作為儲存在瀏覽器或郵件客戶端內密碼字串的加密金鑰。它的主要問題出現在其SHA-1函式中,這函式的疊代次數設為1次,而業界標準至少是10,000次。因為GPU技術的長足進步,較少的疊代次數讓攻擊者可以利用暴力破解來取得主控密碼,使得一分鐘內就可以解密儲存在Mozilla資料庫內的加密密碼。

這並非主控密碼第一次出現問題 – 約十年前就有一份臭蟲報告指出了系統缺陷。

Mozilla目前正在測試代號為Lockbox的新密碼管理器,這密碼管理器將提供改進的密碼管理和線上安全。Lockbox目前可以以擴充套件型式取得,正在進行alpha測試。

強密碼的重要性

雖然Mozilla提供主控密碼等功能值得讚賞,但依然存在了缺陷。因此,使用者不應該僅僅依靠內建的密碼管理器來保護網路帳號,而是要確保自己的密碼盡可能地強大。

因為指紋掃描、語音甚至臉部辨識系統等替代認證方案的出現,讓密碼認證看起來似乎正在被淘汰中。但是密碼系統的簡單易用代表著它們還是會持續存在 – 無論是作為主要還是輔助認證方法。

減少網路帳號遭受入侵的最有效方法之一是避免在不同帳號使用相同的密碼。儘管對使用者來說比較麻煩,但也增加了整體的安全性。幸運的是,有方法可以透過密碼儲存/處理應用程式來自動儲存密碼。當然,這些作法也包括了主控密碼(受到盡可能地防護) – 但再一次,記住一個複雜密碼比記住多個密碼要更加容易些。

其他關於建立密碼的建議:

  • 避免使用常見或易猜的密碼:避免使用常見或照順序的密碼,如ABCDEFG或123456,因為這些密碼通常在暴力破解攻擊時會先被嘗試。
  • 考慮使用縮寫來記住密碼:在不同網站使用不同密碼常常會搞混。記住密碼的技巧之一是使用跟該網站相關的字母縮寫。

 

如果網站或應用程式有提供,使用者的另一個選擇是雙因子身份認證(2FA)。2FA為網路帳號提供多一層的安全防護,駭客無法單靠密碼就入侵成功。

 

@原文出處:Mozilla Master Password Feature Apparently Not as Secure as It Seems