Comments 117
>Кроме того, ребята из Webroot рекомендуют отключать функцию автоматического сохранения логина/пароля в Firefox.
Что помешает вирусу так же и эту опцию изменить, включив обратно?
Есть ли возможность вытащить пароли зашифрованные мастер паролем в FF? или это кажущаяся безопасность?
Что помешает вирусу так же и эту опцию изменить, включив обратно?
Есть ли возможность вытащить пароли зашифрованные мастер паролем в FF? или это кажущаяся безопасность?
1. брутом — очень не эффективно и этим не станет никто заниматься если только вы не президент.
2. имитировать запрос ввода мастер пасса.
3. установить кейлоггер в систему и им записать мастер пасс, когда вы его введёте.
в общем, маловероятно, т.к. пропустить кейлоггер — довольно тяжело.
но нет ничего невозможного, для злоумышленника вопрос лишь сводится к тому — стоит ли затрачивать на вас столько сил?
2. имитировать запрос ввода мастер пасса.
3. установить кейлоггер в систему и им записать мастер пасс, когда вы его введёте.
в общем, маловероятно, т.к. пропустить кейлоггер — довольно тяжело.
но нет ничего невозможного, для злоумышленника вопрос лишь сводится к тому — стоит ли затрачивать на вас столько сил?
Проверте ;) www.rixler.com/firefox_password_recovery.htm, главное чтобы это не оказался вирус ;).
Таких утилит полно, но они показывают только если пароли не зашифрованы мастер паролем.
Вопрос был про зашифрованные пароли.
Вопрос был про зашифрованные пароли.
>> Свойства и достоинства
>> Расшифровка паролей, защищенных User Master Password;
Это выдержка с их сайта.
Я конешно могу ошибться, я не копал в эту сторону. Но что-то мне подсказывает что FF каким-то образом декрптит пароли ;). А вирус работает на той же системе что и FF, то есть у вируса теже возможности что и у FF. Более того вирус сам может использовать FF. В общем и целом, я не вижу причин по которой у этой программы должны возникнуть сложности. Обьясните если что.
>> Расшифровка паролей, защищенных User Master Password;
Это выдержка с их сайта.
Я конешно могу ошибться, я не копал в эту сторону. Но что-то мне подсказывает что FF каким-то образом декрптит пароли ;). А вирус работает на той же системе что и FF, то есть у вируса теже возможности что и у FF. Более того вирус сам может использовать FF. В общем и целом, я не вижу причин по которой у этой программы должны возникнуть сложности. Обьясните если что.
wejn.org/stuff/display_ff3_passwords_wejn.html
— работает после ввода мастер-пароля, но повторно его уже не спрашивает, что тоже достаточно неприятно.
Само шифрование паролей в FF3 — алгоритмом 3-DES (мастер-пароль преобразуется в ключ 112 бит) по схеме CBC. Это весьма и весьма стойко при правильном выборе пароля. Брут-форс — медленный.
— работает после ввода мастер-пароля, но повторно его уже не спрашивает, что тоже достаточно неприятно.
Само шифрование паролей в FF3 — алгоритмом 3-DES (мастер-пароль преобразуется в ключ 112 бит) по схеме CBC. Это весьма и весьма стойко при правильном выборе пароля. Брут-форс — медленный.
Теперь флешку с профилем FF можно смело терять.
Видел кучу софтин для восстановления паролей. Может какая-то из них может с мастер пассом совладать.
>Есть ли возможность вытащить пароли зашифрованные мастер паролем в FF
Программка называется FirePassword
требует 3 файла: cert8.db, signons.sqlite, key3.db.
все лежат в папке с профилями firefox.
вот и думайте сами )
Программка называется FirePassword
требует 3 файла: cert8.db, signons.sqlite, key3.db.
все лежат в папке с профилями firefox.
вот и думайте сами )
>> It can recover passwords from Firefox secret store even when it is protected with master password.
>> In such case user have to enter the correct master password to successfully decrypt the sign-on passwords.
Так что master password она не обходит.
>> In such case user have to enter the correct master password to successfully decrypt the sign-on passwords.
Так что master password она не обходит.
программа бесполезна:
Note: If a “master password” is being used and you don’t know the master password, you won’t be able to view the remembered passwords in Firefox and also use FirePassword to decrypt the the username and password list from firefox sign-on database.
Note: If a “master password” is being used and you don’t know the master password, you won’t be able to view the remembered passwords in Firefox and also use FirePassword to decrypt the the username and password list from firefox sign-on database.
UFO just landed and posted this here
Я конечно понимаю, что она хотел немного прославится. Но он бы еще физ. адрес свой указал.
Да, тема хранения паролей очень актуальная. Может ли какой-нибудь аддон проделывать тоже самое? Насколько хорошо проверяют аддоны фаерфокса? Были ли уже прецеденты?
проверяют очень тщательно, потому попасть в approved add-ons на amo — очень тяжело, правда не давно всё же был прецедент, когда всё-таки 1 злой аддон туда попал (но быстро вскрылось).
Это обнадеживает, потому что стоит целый зоопарк аддонов, думаю, не только у меня одного.
А что тот злой аддон сумел сделать?
А что тот злой аддон сумел сделать?
я честно сказать уже и не вспомню, т.к. забыл и название того аддона, но кажется ничего особо опасного (не воровал куки-пароли, кажется только спам отсылал что ли, но что точно — уже не помню).
Насколько я помню, есть аддоны, которым уже доверяют и у них не проводят ревью кода (носкрипт, адблок). Кода там тоже много, можно засунуть какую-нибудь бяку. И представим, что носкрипт/адблок/любой сверх популярный аддон выкатывают зараженным, то сложно представить последствия катастрофы.
вот уж тут я не в курсе, но мне кажется даже доверенные аддоны всё-равно проверяют. Это ж сделать довольно просто, если сравнить новую версию со старой, посмотреть что было переделано и уже ревью делать только учитывая эти изменения, а не весь аддон целиком.
Отслеживать изменения в коде не так сложно чтобы отказываться от проверок даже проверенных аддонов.
Как раз тот случай был с носкрипт и адблоком. Носкрипт вроде мешал работе адблоку. Автор еще помню приносил извинения.
Не сохранять пароли в браузере, а пользовать KeePass.
Конечно, без фанатизма…
Конечно, без фанатизма…
Не виндоусом едины.
Кстати да, через несколько месяцев перехожу на МакОсь. Там аналог КиПасса имеется?
Ну, в версии 1.х есть и кипасс под линукс/макось…
сравнительно активно пользую версию 1.0 на андроиде и в убунте… Всё руки не доходят под винду поставить :)
сравнительно активно пользую версию 1.0 на андроиде и в убунте… Всё руки не доходят под винду поставить :)
1Password
UFO just landed and posted this here
Месяца два назад заблокировали какой-то аадон которые что-то там перехватывал, если не ошибаюсь то год или два назад было найдено еще два таких аддона в каталоге, ну и также с месяца два назад демонстрировали аддон для Google Chrome который воровал пароли от Gmail, Facebook и т.д.
> Для достижения такой возможности вирус попросту добавляет несколько строчек кода и комментирует некоторые другие участки кода в файле nsLoginManagerPrompter.js из папки Firefox-а.
Всего то? Удивительно что он раньше не появился.
Всего то? Удивительно что он раньше не появился.
Новый троян ворует пароли пользователей браузера Firefox и Windows!!!
И опять для работы вируса нужны админские права… Сегодня черный день для любителей отключать UAC.
а что мешает вирусу прописаться в теле доверенной для запуска с админскими правами программы? UAC же вроде не проверяет исполняемые файлы на наличие изменений, а значит здесь он и не поможет.
Подпись исполняемого файла и сертификат разработчика UAC проверяет, если они есть, конечно.
Проще, наверное, добавиться в какой-нибудь уже установленный FF-плагин и собирать пароли текущего пользователя. Для этого админские права не нужны.
Проще, наверное, добавиться в какой-нибудь уже установленный FF-плагин и собирать пароли текущего пользователя. Для этого админские права не нужны.
Про какие программы идет речь? Системные, например те что в Control Panel? Там все подписано и переподписано. Тем более что для того чтобі их поменять, все равно нужны админские права.
я не про этот список, можно ж сделать хитрее и глянуть какой-нибудь recently opened programs список и из него узнать приложение, которое юзер наверняка часто запускает — и выбрать его как таргет для модификаций.
UAC т.е. проверяет только встроенные виндовые приложения? тогда от него мало проку, или он всё же проверяет все программы?
UAC т.е. проверяет только встроенные виндовые приложения? тогда от него мало проку, или он всё же проверяет все программы?
UAC и мешает.
Не сидите дети под админом. Будете здоровы.
Так вирус, как я понял, попадает в систему вовсе не через уязвимость браузера Firefox.
Пользователь сам заносит его в систему (например, качает и запускает от имени админа какой-нить варез, например, в виде новой клёвой иранской сборки Firefox под Windows). И уже попав каким-то образом в систему, вирус начинает менять файлы Firefox и тырить пароли.
Поэтому деревянная коняшка с лого огнелиса на борту вовсе не отображает суть проникновения. Firefox тут невиноват.
Пользователь сам заносит его в систему (например, качает и запускает от имени админа какой-нить варез, например, в виде новой клёвой иранской сборки Firefox под Windows). И уже попав каким-то образом в систему, вирус начинает менять файлы Firefox и тырить пароли.
Поэтому деревянная коняшка с лого огнелиса на борту вовсе не отображает суть проникновения. Firefox тут невиноват.
Firefox тут не виноват, просто говорится — что он является целью этого трояна.
А где сказано, что вирус попадает в систему через уязвимость браузера? И где утверждается, что картинка отображает суть проникновения? =)
Суть работы вируса выражен в заголовке, вам стоит его прочитать еще раз: "Новый троян ворует пароли пользователей браузера Firefox". Про способ проникновения вообще ни слова, ни в заголовке, ни в тексте новости…
Суть работы вируса выражен в заголовке, вам стоит его прочитать еще раз: "Новый троян ворует пароли пользователей браузера Firefox". Про способ проникновения вообще ни слова, ни в заголовке, ни в тексте новости…
Стоит отметить, что внутри вируса можно найти и некоторые данные об авторе этого ПО — есть ссылка на его страницу в Facebook и есть его электронная почта.
Занавес.
1password наше всё :)
Не пройдёт валидацию на сложность. Вот Qwerty1 проходит.
maybe, человек имеет ввиду программку, а не пароль?
ага, именно 1Password
Какая-то желтая новость. Пока целиком не прочтешь, не понятно, что это касается только пользователей Firefox под Windows, да еще не просто пользователей, а тех, которые скачали и установили какую-то хрень дополнительно.
Это знаете, как в рекламе, когда рядом с фразой звездочки ставят.
«Новый троян ворует пароли пользователей браузера Firefox*»
Это знаете, как в рекламе, когда рядом с фразой звездочки ставят.
«Новый троян ворует пароли пользователей браузера Firefox*»
А что нового? В своё время пинч работал именно так же. И в своё время был «Firefox Optimizer Patch» — на деле обычный вирус, который тырил закешированные пароли и слал их по фтп.
Всё новое — хорошо забытое старое. И, кстати, в чём проблема запоминать пароли самому? ;)
Всё новое — хорошо забытое старое. И, кстати, в чём проблема запоминать пароли самому? ;)
И, кстати, в чём проблема запоминать пароли самому?Жжёте, когда их два три оно и лана, хотя на самом деле самые важные пароли я храню на бумажке. А если люди будут более 10 паролей держать в голове, то скорее всего придёт к тому, что пароли у него будут очень похожи друг на друга.
Я Вас поражу: двадцать пять — помню отлично. Меняете CapsLock. Меняете раскладку. Добавляете в начале и в конце циферки или спецсимвол. Меняете местами первое и второе слово в пароле. Вам привести инструкцию, как создавать запоминаемые пароли или сами в сети найдёте?
P.S. Есть кстати программы на наладонники и даже смартфоны для хранения паролей с криптованием. Это если совсем проблемы с памятью.
P.S. Есть кстати программы на наладонники и даже смартфоны для хранения паролей с криптованием. Это если совсем проблемы с памятью.
У меня есть пароли такого плана jdjJjDjjdW337S, около 30. Чё-то как-то не запоминаются.
Ну а кто вам виноват? ОК, мануал персонально для вас.
1. Пишем какое-то слово, родное и близкое для вас. Например, «арбат.
2. Пишем второе такое же слово — пусть будет „махачкала“.
3. Пишем такую последовательность: любимая цифра — пусть 7, потом первый слог первого слова, любимый спецсимвол (пусть будет *), последний слог второго слова большими буквами, вторая любимая цифра — пусть будет 0. Получаем: 7арб*ЛА0
4. Набираем это в английской раскладке — получаем 7fh,*KF0 — как вам такая криптостойкость?
Можете играть с вариантами: большие буквы в первом слове, везде большие буквы, разные цифры, разные спецсимволы. Вспомнить легко, взломать сложно, никаких сомнительных хранилищ и сомнительных программ.
1. Пишем какое-то слово, родное и близкое для вас. Например, «арбат.
2. Пишем второе такое же слово — пусть будет „махачкала“.
3. Пишем такую последовательность: любимая цифра — пусть 7, потом первый слог первого слова, любимый спецсимвол (пусть будет *), последний слог второго слова большими буквами, вторая любимая цифра — пусть будет 0. Получаем: 7арб*ЛА0
4. Набираем это в английской раскладке — получаем 7fh,*KF0 — как вам такая криптостойкость?
Можете играть с вариантами: большие буквы в первом слове, везде большие буквы, разные цифры, разные спецсимволы. Вспомнить легко, взломать сложно, никаких сомнительных хранилищ и сомнительных программ.
и как потом вспомнить к какому сайту какой вы пароль себе таким образом сгенерировали? вы предлагаете метод шифровки (который подходит для создания 1 пароля т.к. все остальные будут похожи на него, что очень секурно), а вам говорят — ну и как запомнить хотя бы 30 таких паролей? Или потом каждый раз судорожно начинать «играть с вариантами»?
Вариант выше предполагает уже несколько вариантов:
— это перебор больших и маленьких букв. Я уже не говорю о том, чтобы вместо цифр в начале и в конце фразы вставлять первую и последнюю буквы названия сайта, куда заходишь, а середину использовать одну и ту же. С точки зрения криптостойкости — не пострадает, потому как взломщику не догадаться, какие буквы вы вставляете и куда.
ЛЮДИ! Ну включите воображение — неужели надо разжёвывать и всем пояснять, как это сделать под свои нужды? Впрочем, при тотальном склерозе и амнезии — да, тут ничем не помочь.
7fh,*KF0
7FH<*kf0
7FH<*kf0
7fh,*kf0— это перебор больших и маленьких букв. Я уже не говорю о том, чтобы вместо цифр в начале и в конце фразы вставлять первую и последнюю буквы названия сайта, куда заходишь, а середину использовать одну и ту же. С точки зрения криптостойкости — не пострадает, потому как взломщику не догадаться, какие буквы вы вставляете и куда.
ЛЮДИ! Ну включите воображение — неужели надо разжёвывать и всем пояснять, как это сделать под свои нужды? Впрочем, при тотальном склерозе и амнезии — да, тут ничем не помочь.
Лучше я всё же 1password куплю за 40 долларов, чем буду такой велосипед у себя в голове городить.
Если неохота тренировать мозг, пожалейте деньги, есть и бесплатные решения:
www.accessmanager.co.uk/
keepass.info/
www.keywallet.com/
www.cygnusproductions.com/freeware/pc.asp
mypadlock.com/
www.accessmanager.co.uk/
keepass.info/
www.keywallet.com/
www.cygnusproductions.com/freeware/pc.asp
mypadlock.com/
Ещё несколько:
sdm.sourceforge.net/
passwordsafe.sourceforge.net/
https://lastpass.com/
www.efficientpasswordmanager.com/download.htm
Выбирайте на вкус!
sdm.sourceforge.net/
passwordsafe.sourceforge.net/
https://lastpass.com/
www.efficientpasswordmanager.com/download.htm
Выбирайте на вкус!
Кстати, а это хорошая идея — как-нибудь напишу на Хабре сравнение всех этих бесплатных версий менеджеров паролей. Если это интересно, конечно — чтобы не тратить зря время.
А зачем? Проще же выбрать 1 максимально кросс-платформенный и максимально удобный и только его всем и рекомендовать. Зачем людям знать о не лучших вариантах? Им достаточно и лучшего.
Максимально удобных и максимально кроссплатформенных найти довольно сложно — слишком много критериев :) В списке кажется два кроссплатформенных. Об удобстве сложно судить, пока сам не пощупаю.
Не надо — так не надо, значит не буду этого делать. Тем паче, что я исповедую принцип запоминания паролей, а не использования менеджеров.
Не надо — так не надо, значит не буду этого делать. Тем паче, что я исповедую принцип запоминания паролей, а не использования менеджеров.
Все версии для виндоус, у меня мак. Киипас портирован с линукса, поэтому выглядит и ведёт себя не нативно на маке. На линуксе, да, идеальный выбор.
Lastpass я пользовался им долго, не понравился.
После этого топика скачал и начал пользоваться 1password. Там много функций, есть аддон для фаерфокса, который по клику заполняет формы авторизации, есть клиент для айфона (!!! платный), он может хранить не только логины/пароли, но и данные кредитки/паспорта+прикладывать фото, писать заметки.
Пока очень нравится, через 30 дней, думаю, куплю, но очень дорого.
Lastpass я пользовался им долго, не понравился.
После этого топика скачал и начал пользоваться 1password. Там много функций, есть аддон для фаерфокса, который по клику заполняет формы авторизации, есть клиент для айфона (!!! платный), он может хранить не только логины/пароли, но и данные кредитки/паспорта+прикладывать фото, писать заметки.
Пока очень нравится, через 30 дней, думаю, куплю, но очень дорого.
pwgen, кросс платформенный…
вы опять не понимаете.
то что вы предлагаете — это хороший метод создания пароля + не очень хорошая идея иметь все пароли похожими друг на другу и отличаться только регистром у букв. Ведь если всё же злоумышленник владеет 2-умя сайтами для которых вы имеете регистрацию и он видит ваши пароли, то это не так уж и сложно догадаться какая часть в вашем пароле статична для всех сайтов и как в зависимости от адреса сайта формируется динамичная часть.
Это. Очень. Плохая. Идея.
то что вы предлагаете — это хороший метод создания пароля + не очень хорошая идея иметь все пароли похожими друг на другу и отличаться только регистром у букв. Ведь если всё же злоумышленник владеет 2-умя сайтами для которых вы имеете регистрацию и он видит ваши пароли, то это не так уж и сложно догадаться какая часть в вашем пароле статична для всех сайтов и как в зависимости от адреса сайта формируется динамичная часть.
Это. Очень. Плохая. Идея.
Поясните мне пожалуйста: каким образом злоумышленник:
1. Узнает, что именно я меняю в пароле каждый раз?
2. Какие именно буквы из названия сайта я добавляю и куда в свой пароль?
3. Какой регистр и раскладка при этом используется?
Вы абсолютно правы — несколько криптостойкость понизится. Ну не 2 миллиарда лет брут форса — ну два миллиона, только толку? ;)
1. Узнает, что именно я меняю в пароле каждый раз?
2. Какие именно буквы из названия сайта я добавляю и куда в свой пароль?
3. Какой регистр и раскладка при этом используется?
Вы абсолютно правы — несколько криптостойкость понизится. Ну не 2 миллиарда лет брут форса — ну два миллиона, только толку? ;)
1. Сравнив их по виду и удалив совпадающие части.
2. Можно догадаться, если выборка букв для добавления в пароль не сильно хитрая. А сильно хитрую и запоминать сложнее, и забыть легче.
3. Ну он же видел ваши 2 пароля.
Зачем вообще знать собственные пароли? Проще уж тогда 1 сложный пароль запомнить и использовать его + адрес домена как основу для хэширования, что на выходе даст абсолютно семантически не подбираемый пароль. Уязвимое место в этом случае — становится ввод лишь мастер-пароля, а справиться с защитой от кейлоггеров в момент его ввода — задача априори более лёгкая, чем выполнение этой же задачи + риск того, что злоумышленник определит условия генерации ваших паролей на основе n примеров.
2. Можно догадаться, если выборка букв для добавления в пароль не сильно хитрая. А сильно хитрую и запоминать сложнее, и забыть легче.
3. Ну он же видел ваши 2 пароля.
Зачем вообще знать собственные пароли? Проще уж тогда 1 сложный пароль запомнить и использовать его + адрес домена как основу для хэширования, что на выходе даст абсолютно семантически не подбираемый пароль. Уязвимое место в этом случае — становится ввод лишь мастер-пароля, а справиться с защитой от кейлоггеров в момент его ввода — задача априори более лёгкая, чем выполнение этой же задачи + риск того, что злоумышленник определит условия генерации ваших паролей на основе n примеров.
Погодите, а откуда он знает мои пароли? Тем более два??? Исходно предполагается, что злоумышленнику удалось спереть один пароль.
В раскладе, когда кто-то может тырить всё, что хочет, не спасёт ни одна система. У того же менеджера паролей можно вскрыть базу при знании мастер-пароля.
В раскладе, когда кто-то может тырить всё, что хочет, не спасёт ни одна система. У того же менеджера паролей можно вскрыть базу при знании мастер-пароля.
Внимательно прочтите коммент. Я там как раз говорил про 2 пароля. Понятное дело, что если пароль использует разные регистры, цифры, спецсимволы и состоит хотя бы из 8 символов, то владея 1 таким паролем узнать 2-ой практически невозможно, даже если он отличается всего-то на 1 символ, т.е. при таком условии вообще не важно сам ли юзер придумал такой пароль или программа сгенерировала, главной задачей — будет запомнить его а потом для каждого следующего сайта запоминать _похожий_, что делает этот вариант _намного_ уязвимей предложенного мной, если злоумышленник узнает 2-ой пароль, при этом теряется польза вашего метода: юзеру придётся запоминать много разных паролей, что есть бред.
>Погодите, а откуда он знает мои пароли? Тем более два???
Два сайта одного владельца, два взломанных сайта…
Два сайта одного владельца, два взломанных сайта…
Ммм, есть сайты и программы, которые генерируют пароли сами и менять не дают. И это правильно.
Что мешает использовать что-нибудь типа этого?
Ну да, только если SuperGenPass почему-то засбоит — вы никогда не восстановите пароль, который он как-то сделал из исходного мастер-пароля. Понимаю, что маловероятно — но как-то уверенности не прибавляет…
Закладка хранится статическим текстом, ничто не мешает его скопировать и забекапить, к тому же исходный код проекта можно скопировать на свой домен (как я и сделал для надёжности). Никаких минусов и сбоев не было более чем за год использования.
Спасибо за идею. Я вот использовал абсолютный аналог этой утилиты, только он в виде юзерскрипта и там используются и спец-символы + есть возможность учитывать и домен 3-ого уровня (по умолчанию — не учитывается).
Я не парюсь, использую свой давно написанный скриптик генерирующий пароли на основе динамических и статистических тэгов… ссылку не дам боюсь хабра-эффекта, но в профиле можно найти…
Я так понимаю, что ворует он пароли пользователей Windows, и именно на это нужно делать упор?
Вообще в Firefox можно и так пароли прочитать (я часто пользуюсь если забыл) и Хром при установке импортирует все из FireFox с паролями… Я не вижу в чем сложность украсть их?
Ставьте файервол и когда какая-то хрень будет куда-то че-то слать, он вам скажет :)
Ставьте файервол и когда какая-то хрень будет куда-то че-то слать, он вам скажет :)
UFO just landed and posted this here
Мицгол в опасности!
меня одного смутило, что у троянского коня с одной стороны 3 колеса, а с другой 2?))
Уф, ну нельзя же так пугать, пока не дочитал до «Затем вирус создает в Windows...» чуть инфаркт не случился. Назовите топик «Новый Win-троян...»
Sign up to leave a comment.
Новый троян ворует пароли пользователей браузера Firefox