OKblog

Máte svá hesla v bezpečí?

Středa, 3. ledna 2007 20.03 Prohlížeče

Docela náhodou jsem našel poněkud starší článek pojednávající o bezpečenosti hesel ve Firefoxu a tak trochu i bezpečnosti obecně. Napadlo mě, že bych mohl zjistit, jak jsou na tom prohlížeče (budu brát v potaz jen Operu a Firefox) právě s uchováváním hesel.

Firefox

Firefox skladuje přístupová jména a hesla v souboru signons.txt v profilu uživatele. O něco horší je, že tam v nezašifrované podobě najdete i URL stránek, což na soukromí zrovna nepřidá. Hesla i jména jsou šifrována celkem primitivním systémem Base64 (wiki).

Praktickým důsledkem je, že hesla se dají velmi snadno rozšifrovat pomocí kdejaké utilitky a dokonce i v samotném Firefoxu. Můžete si to zkusit: Stačí do adresního řádku zadat javascript:btoa("cokoliv"). Když vezmu „cokoliv“ jako příklad, vyjde tohle: Y29rb2xpdg==. To je zakódované „cokoliv“ v Base64. Rozšifovat se dá pomocí javascript:atob("Y29rb2xpdg=="). A hurá, máme tady opět „cokoliv“.

Firefox ještě k tomu dokonce umožňuje pro zapomnětlivce hesla rovnou a jednoduše zobrazit: Nástroje / Možnosti / Zabezpečení / Zobrazit hesla…. Řešením je používat master password, neboli hlavní heslo.

Opera

Ta je na tom s bezpečností hesel o něco líp, ale pořád to není to pravé ořechové. Opera uchovává všechna hesla v souboru wand.dat ve složce s profilem. Obsah je na rozdíl od signons.txt Firefoxu prakticky nečitelný. Pomocí dvojtého použití MD5 (wiki) se vygeneruje klíč a následně se obsah zašifruje systémem 3DES (nebo taky „Triple DES“, wiki).

Obsah ovšem není zase tak těžké získat. Stačí na to opět nějaká specializovaná utilitka. Například Unwand. Použití je taky jednoduché: stačí rozbalit archiv do nějaké složky a zkopírovat do ní i wand.dat a pak do příkazového řádku zadat unwand wand.dat.

Stáhnout Unwand (ZIP, 400kB) (Autor článku ani programu neručí za případné problémy)

A jaké je tedy komplexní řešení? Používat master password a v případě, že jste trochu paranoidní, i šifrovat celý disk…

předchozí další


Související články

Komentáře (28)

 
středa, 3. ledna 2007 20:54:57

Tak to je zajímavá věcička… dobrý článek ;-)

 
středa, 3. ledna 2007 21:18:16

Ukladat hesla na disk je blbost. Ať už se jedná o webový prohlížeč či třeba FTP klient (na to byla horlivá diskuse u pana hulváta :-) )

Jinak připadá mi velká blbost, že jsou hesla v Opeře hashována pomocí MD5. Vždyť podstata hashovacího algoritmu je v tom, že je jednosměrný. (zapomeňte na nějaké kolize u md5 apod ;-) )

 
středa, 3. ledna 2007 21:22:20

[2] Mazlo: Jo, je to blbost, MD5 se používá podle všeho jenom ke generování klíče a to dvakrát. Opravím to ;)

 
středa, 3. ledna 2007 22:54:12

Komplexní řešení je neukládat si hesla v prohlížeči. :) Já to tak řeším.

 
čtvrtek, 4. ledna 2007 13:04:14

Díky za tip, aspoň konečně zjistim jaký mám hesla a nebudu to jinde dávat na 5pokusů ;)

 
čtvrtek, 4. ledna 2007 13:36:56

By me zajimalo jak chces symetrickou sifru (base64 to neni) zabezpecit proti rozlousknuti?

 
čtvrtek, 4. ledna 2007 13:43:49

[5] Buchtič: na to je lepší tlačítko ;)
http://operawiki.info/PowerButtons#retrievewand

 
čtvrtek, 4. ledna 2007 13:43:50

Ja si hesla ukladam, vsude. Nikdy me nebavi ho vyplnovat. Windows mam zaheslovane kdyz nekam jdu a jinak mam notas pro sebe, takze tohle moc neresim :)

 
čtvrtek, 4. ledna 2007 13:45:59

Link se špatně parsoval, tudíž hledej retrievewand, nebo doplň link o"#retrievewand".

 
čtvrtek, 4. ledna 2007 14:38:36

Máš to pěkně sepsané.

Já mám silné heslo do windows a hesla k mailům a podobným kravinám si ukládám. K účtům, kde jde o prachy si hesla neukládám.

Kdybych chtěl mít jistotu, že žádné heslo neuteče, tak si nesmím žádné uložit, přihlašovat se jen pomocí SSL a na https servery. Ale i tak člověk nemá vyhráno… :-D

Čili snažit se o to je celkem zbytečné, jen snižuje riziko. A stojí to za to se obtěžovat?

 
čtvrtek, 4. ledna 2007 15:49:11

Uz hulan si na tom vylamal zuby. Jak chcete symetrickou sifru zabazpecit???

 
čtvrtek, 4. ledna 2007 16:42:26

[6], [11] error414: Nevšiml jsem si, že bych tvrdil, že jde zabezpečit. Tenhle článek o tom ani není. Má jenom informovat. Existuje snad nějaká šifra, která se dá stoprocentně zabezpečit?
Důležité je taky, jak rychle se dá k čistému heslu dostat a co je k tomu potřeba…

 
čtvrtek, 4. ledna 2007 17:37:33

To je snad jasné, že hesla uložená v prohlížeči nejsou v bezpečí… stačí jednoduchá úvaha: Ten prohlížeč to heslo někam uloží a pak ho zas musí na stránku vyplnit. Tedy ho musí umět přečíst. Tedy ho stejným způsobem může přečíst nějaký jiný program.

Ale heslo které nesmí nikdo zjistit si uloží do prohlížeče jenom blázen a u hesla kde na tom tak nezáleží… na tom tak nezáleží :D

 
čtvrtek, 4. ledna 2007 17:51:51

[13] Joker: Tak jasně ;) Ale co je dneska v bezpečí? Možná tak vypnutý počítač…

Samo o sobě to heslo v prohlížeči je ještě relativně bezpečné do doby, než se někdo do počítače nabourá (nebo třeba ukradne notebook s nešifrovaným diskem). Je jen otázka, jak rychle a jak snadno se k nim dá dostat… (viz [12])

 
čtvrtek, 4. ledna 2007 18:06:43

A nejhorší je, pokud za počítačem sedí blbec uživatel. Schválně si zkuste v nějaké výměnné síti nebo pomocí Googlu zkusit najít soubor signons.txt.
A můžete si začít hrát…

 
čtvrtek, 4. ledna 2007 19:38:51

[15] Acci: Nebo taky u nějaké lamy na DC++, která sdílí radši úplně všechno ;)

 
čtvrtek, 4. ledna 2007 19:44:48

Krátce řečeno. Každé heslo, které jde rozšifrovat v krátké době (programem, kterým je uloženo) je rozšifrovatelné jednoduše. Heslo se většinou posílá v plain textu, takže je lehce snifnutelné. Nebylo zde zmíněno pár rad. A to silná hesla – http://mozektevidi.ic.cz/index.php?clanek=generator-spravneho-neprolomitelneho-hesla a měnit hesla.
Ale nebuďme moc paranoidní, že.

 
čtvrtek, 4. ledna 2007 22:48:27

Takovýchto upozorňovacích článků nebude nikdy dost, díky za něj. Jen bych rád upozornil, že existuje rozdíl mezi kódováním a šifrováním. Kódování znamená uložení veřejných dat jiným způsobem (např. zapsání mluveného slova na papír, zapsání dvanáctky jako XII apod.), zatímco šifrování znamená utajení informace takovým způsobem, aby ji mohla přečíst jen autorizovaná osoba. Prohlížeče provádějí kódování, nikoliv šifrování, proto není žádné „rozšifrovávání“ potřeba.

 
čtvrtek, 4. ledna 2007 23:02:06

[18] Borek: Hlavní je, že většina pochopila, co mám na mysli :D Přesto díky za upřesnění.

 
pátek, 5. ledna 2007 5:09:35

hmm zajimavy diky za info!!:)

 
pátek, 5. ledna 2007 9:22:15

Zajímavý článek, ukládám si hesla na CD a na papír /klasika/

 
pátek, 5. ledna 2007 15:30:44

[21] Evča: Já si je ukládam do hlavy. Mám téměř neprolomitelné osmičíselné heslo a šestíčíselné heslo a ten kdo na něho příjde dostane přes držku. Ale administraci mam na IP adresu :-P

 
neděle, 7. ledna 2007 14:58:11

No a podle mně to ani jinak nejde. Kdyby použitý algoritmus nebyl obousměrný, tedy encoding a decoding v rozumném čase, nemohli bychom se přihlásit (decoding by trval léta). Proto musíme najít algoritmus, který trvá setiny sekundy; ale to je zase jednoduchý algoritmus.

Jinak to nejde. Jednou se našel takový dobrák, který se mi snažil nacpat, že zakódování přes SHA1 je jediné účinné. Decoding v řádu sta let mu byl naprosto volný.

(ach, tak o tom už psal Joker, no nevadí)

 
sobota, 20. ledna 2007 15:44:32

jsm amatér a v tom smyslu též položím dotaz: lze otevřít mailovou schránku bez zadání hesla,jen za pomocí nějakého klíče?

 
sobota, 20. ledna 2007 16:10:28

[24] widaho: Ne.

 
středa, 14. února 2007 17:46:54

http://www.google.cz/search?q=signons.txt+intitle%3A%22index+of%22

heh, a ze se tech blbcu najde… :)

 
středa, 18. července 2007 0:35:21

[17[ Paranoidní buďme, je to jediná cesta jak přežít… Já jsem http://danielka.eu/4-mate-sifrovany-disk-aktualizovano-a-rozsireno.html" title="paranoidní velice">paranoidní velice a jak někde nemám AES, tak tomu neveřím

 
sobota, 29. března 2008 11:21:07

každé heslo je v bezpečení jenom když ho máte ve vlastní hlavě, jinak ne!

K tomuto článku již není možné přidávat komentáře.