Firefox, Thunderbird - hlavní heslo

Antivirové programy, firewally, viry, spyware, aktuální hrozby

Moderátor: Moderátoři Živě.cz

Odeslat příspěvekod m.kv 30. 12. 2017 14:38

Zdravím,

byl jsem dotázán a protože nevím tak poprosím o pomoc.
Otázka:
" Jak moc (ne)bezpečné je zabezpečení přihlašovacích údajů pomocí hlavního hesla?"

Já doplním dotaz:
1. Má vliv portable vs instalovaná verze?
2. Má vliv spouštění pod účtem správce vs user?
3. Má vliv OS (Windows vs Linux)?

Neřeším sílu hesla - tam musí každý používat svojí hlavu.

Předem díky
m.kv
Ex-moderátor
Uživatelský avatar

Odeslat příspěvekod Ansam 30. 12. 2017 17:57

m.kv píše:" Jak moc (ne)bezpečné je zabezpečení přihlašovacích údajů pomocí hlavního hesla?"

To je dobré iba pre blondínky. Užívateľovi ktorý vie, že Firefox a Thunderbird si ukladá všetky údaje do svojho PROFILU, nie je problém sa ku všetkým údajom vo Firefoxe a v Thunderbirde dostať.
Ansam
Mírně pokročilý
Uživatelský avatar

Odeslat příspěvekod m.kv 30. 12. 2017 18:50

Takže jsou ty uložená hesla v profile normálně čitelná? t.j. např. portable verze na flešce, tu ztratím a nálezce, který není blondýna si je vytáhne bez nějakého problému?
Já to nepoužívám, tak nevím. Jen jsem slíbil, že zjistím.
m.kv
Ex-moderátor
Uživatelský avatar

Odeslat příspěvekod m.kv 30. 12. 2017 21:31

Stáhl jsem portable Firefox a zkusil uložit jedno přihlášení. Pak jsem prohledal složky profile. Našel jsem dvě a to

C:\Users\Rodina\Downloads\FirefoxPortable\Data http://leteckaposta.cz/946649258

C:\Users\Rodina\Downloads\FirefoxPortable\App\DefaultData http://leteckaposta.cz/251743393

heslo jsem z toho nevyčetl - můžeš mi ukázat kde to najdu?

jsou u toho odkazy na stažení - složka je zabalená v RARu
Profláknutí toho hesla se neboj- je to jen vyplněné přihlášení neexistujícím nickem a heslem.

Předem díky
m.kv
Ex-moderátor
Uživatelský avatar

Odeslat příspěvekod Milanr1 30. 12. 2017 22:09

Waterfox i Firefox ukládá hesla šifrovaně => je to relativně bezpečné.
Dešifrovat je lze jen v daném profilu, kde byla uložena => pokud útočník získá přímý přístup k danému uživatelskému profilu, může odhalit všechna hesla (nejen uložená v i-prohlížeči).
Řádově bezpečnější, než používání on-line úložišť hesel typu
Apple iCloud, Dropbox, Google Drive aj. -> hesla zde nejsou uložena šifrovaně!!* :-(
A je to zároveň mnohem bezpečnější, než stejná funkce v Chromákovi apod. i-prohlížečích se stejným jádrem; po zadání adresy:
chrome://settings/passwords
=> vidíš čitelná hesla i příslušné adresy.
---
* Všechny tyto služby už byly mnohokrát hacknuty a soubory s uloženými hesly v čitelné podobě ukradeny.
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod m.kv 30. 12. 2017 22:50

Díky moc za vysvětlení. Jen pro ujasnění
Milanr1 píše:pokud útočník získá přímý přístup k danému uživatelskému profilu, může odhalit všechna hesla (nejen uložená v i-prohlížeči).

myslíš tím profil v FF ? t.j. v případě získání flešky s kompletním FF si lze hesla vytáhnout? Myslím teď běžného nálezce, o profi hack scéně se nebavím.

Já používám jen offline prostředky, které tazatel nechce (nemůže) použít. A hlavní heslo v FF by bylo aspoň trošku přijatelným řešením.
m.kv
Ex-moderátor
Uživatelský avatar

Odeslat příspěvekod Milanr1 31. 12. 2017 07:42

V uživatelském profilu v OS, ne v profilu Firefoxu.
Vysoká úroveň zabezpečení ovšem znamená menší uživatelskou přívětivost, jako vždy.
Např. přenos uložených hesel do jiného OS samotný FF/WF neumí, je k tomu třeba nějaký 3-p nástroj, např.
Password Exporter
https://addons.mozilla.org/cs/firefox/a ... -exporter/
který uloží hesla v čitelné podobě do .csv, v jiném OS pak tento soubor importuje do FF.
V nejnovější verzi FF však už tento nástroj nepracuje, stejně jako jiné doplňky na platformě XUL -> FF už pracuje na novém jádře.
Ve Waterfoxu nefungoval Password Exporter nikdy.
Milan
Milanr1
Pokročilý
Uživatelský avatar

Odeslat příspěvekod Ansam 31. 12. 2017 08:57

m.kv píše:... např. portable verze na flešce, tu ztratím a nálezce, který není blondýna si je vytáhne bez nějakého problému?...
ANO.
Firefox na nájdenej flešce:
1. hesla, ktoré zostali v profile:
- logins.json (signons.sqlite v starších verziach Firefoxu) a key3.db
2. prihlasovacie údaje, ktoré zostali v profile:
- cookie.sqlite
3. Záložky, ktoré zostali v profile:
- bookmarks-2017-10-28_xxxxxxxxx.jsonlz4 (číselný údaj 2017-12-28 = dátum, ktorý sa denne mení. Toto je z 28.12.2017)
- stará história a aj záložky sú v súbore places.sqlite

A teraz si stačí doma nainštalovať do počítača Firefox portable verziu ktorá je na tej flešce, prekopírovať si do profilu portable Firefoxu tieto uvedené súbory v bode 1 až 3 z flešky a mám všetko.
Ansam
Mírně pokročilý
Uživatelský avatar

Odeslat příspěvekod Doggg 31. 12. 2017 10:23

Milanr1 píše:Apple iCloud, Dropbox, Google Drive aj. -> hesla zde nejsou uložena šifrovaně!!* :-(

---
* Všechny tyto služby už byly mnohokrát hacknuty a soubory s uloženými hesly v čitelné podobě ukradeny.


Milane buď o té lásky a poraď nám všem jak si z dropboxu a icloudu stáhnu svoje hesla v nešifrované podobě. Jelikož jsi to neudělal ty, tak alespoň my ostatní nahlásíme chyby do těch firem a jelikož většina z nich má nějaký bug bounty program, tak něco vyděláme!

Doteď jsem žil v tom, že všechny tři služby jsou obecná uložiště dat. Jediný rozdíl je v keychainu na apple, ale ten je zase chráněn master heslem. Ale rád se nechám poučit. Dík.
Doggg
Junior

Odeslat příspěvekod m.kv 31. 12. 2017 17:56

Milanr1 píše:V uživatelském profilu v OS, ne v profilu Firefoxu.

Díky, nebyl jsem si jist, včera jsem trošku popíjel a mozek už nebyl úplně bystrý :D
Teď za střízliva už to vidím
Milanr1 píše:........ odhalit všechna hesla (nejen uložená v i-prohlížeči).

Ansam:
To, že z profile jde vytáhnout údaje o prohlížení, záložkách atd. je jasné, to se dá pořešit v nastavení. Mně jde vyloženě o přihlašovací hesla.
Ansam píše:A teraz si stačí doma nainštalovať do počítača Firefox portable verziu ktorá je na tej flešce, prekopírovať si do profilu portable Firefoxu tieto uvedené súbory v bode 1 až 3 z flešky a mám všetko.


Zkusil jsem tedy - nová instalce portable FF - copy>paste složek profile a otevření FF. Pokusné heslo tam bylo uložené, ale bez hlavního hesla jsem ho nezobrazil.

Beru to tedy jako dostačující pro potřeby tazatele.

Všem děkuji a přeji hezkou oslavu Silvestra :-)
m.kv
Ex-moderátor
Uživatelský avatar


Kdo je online

Uživatelé procházející toto fórum: Žádní registrovaní uživatelé a 0 návštevníků

cron