原标题:Firefox的密码管理机制被爆安全强度不足
Firefox的Master△Password被指安全性不足。
图片来源:Firefox
研究人员发现,Mozilla△Firefox或Thunderbird的密码管理服务使用的加密技术强度不足,可能被暴力破解,使用户各种网站及服务的密码曝光。?一般情况下,当用户同意浏览器如Firefox记忆包括邮件信箱、社交网站或网络银行等线上服务时,这些密码往往以明码储存。为了提高安全性,Firefox及邮件软件Thunderbird提供了主密码(Master△Password)可用设定。当启用这项功能,用户需要输入一个主要密码,而用户储存的所有密码,都会被以主密码及其主要金钥加密后储存,以达到保护使用者密码的目的,防止电脑让别人使用或被偷偷存取时窃密。?不过AdBlock△Plus扩充程式开发人员Wladimir△Palant发现Mozilla/Firefox的主密码系统却有加密强度不足的问题。当他检视这功能程式码发现一个sftkdb_passwordToKey()函式,这个函式可将随机的盐(salt)及用户主密码组成的字串,运用SHA-1杂凑运算将密码转换成加密金钥。他指出,任何设计过网站登入功能的人都看得出有点问题。?Palant所指的问题在于,SHA-1函式的循环(iteration)次数为1次,安全业界一般认为1万次以上才够安全,而知名密码管理服务LastPass则做到10万次。Firebox、Thunderbird的加密强度相形之下十分薄弱。?他指出,在近3.2亿次杂凑中,只有116个SHA-1杂凑无法还原,成功率将近99.9999%。而且今天GPU如此强大,以nVidia△GTX△1080显卡为例,每秒可做85亿次SHA-1杂凑运算,即85亿次密码测试。同时间,人类平均密码强度仅40-bits,需暴力破解的话,需测试2的39次方次。运用一块nVidia显卡平均只要1分钟即可破解主密码,进而得到主金钥及所有网站密码。?Bleeping△Computer引述Mozilla的bug△tracker显示,9年前Master△Password技术刚推出时,就有研究人员指出相同问题,也就是说这个问题持续了将近10年。?在Palant将该瑕疵通报Mozilla后,Mozilla已经解决,本周并释出代号为Lockbox的新密码管理员扩充程式。
?
相关:
圆周率里有所有的银行卡密码?为何这个程序员的操作亮了令人傻眼 [生活]
圆周率里有所有的银行卡密码?为何这个程序员的操作亮了令人傻眼。相信不少人对于昨天314白色情人节,还意犹未尽。然后很多人并不知道,其实它也是个非常特殊的日子,敢情学渣肯定不得而知,但是作为蹩脚学霸的小编,
大家都知道,现在手机上拥有人脸识别解锁功能,它也成为了许多手机产品的最大卖点之一,自此后,人脸识别算是彻底火了,但是在这期间里,却有一个人提醒我们别用网上人脸识别,他说“密码可换但你不会再有第二张脸”
手机输错密码怎么办?只能等待几分钟就可以了,但是如果手机连续输错了密码还能救得回来,答错了可以的,只不过要等到47年。说起来看47年,对于大家来说都是一个致命点,因为不知道下一秒会发生什么,但是手机停用47
网购的便捷使得人们的消费生活很是丰富,而像京东这类大型的网购平台也成了人们在日常消费中的选择。在京东买东西进行结算时,是需要输入京东密码才能完成整个操作的,有时候一些新手就搞不清楚京东支付密码是什么了
一般来说,医保卡原始密码是身份证号后六位,六个6,六个3,六个0,六个8,123456....,需要提醒的是,每个城市的医保卡原始密码是不一样的。那么新农合医疗卡初始密码是多少呢?下面跟随小编一起来了解一下吧!新农