¿Por qué Mozilla Firefox cifra las contraseñas guardadas?

8

Si le pide a Mozilla Firefox que recuerde los detalles de inicio de sesión de un sitio web, las credenciales se almacenarán en el directorio de su perfil en Logins.json .

En lugar de almacenar valores de texto simple, el nombre de usuario y la contraseña se cifrarán (utilizando la API PKCS # 11 implementada en NSS biblioteca). Sin embargo, la clave necesaria para descifrarlos también se almacena en el directorio de su perfil (en Key3.db ). Por lo tanto, un atacante que adquiera ese directorio, obviamente, también podrá extraer las contraseñas almacenadas (es decir, a menos que el propietario haya establecido una contraseña maestra).

Esto me dio curiosidad: ¿Cuál fue la motivación para cifrar las contraseñas en Logins.json de forma predeterminada cuando la clave se almacena cerca? ¿En qué escenario realista podría esta decisión de diseño complicar un ataque?

    
pregunta Arminius 29.05.2016 - 23:26
fuente

2 respuestas

5

Probablemente sea para simplificar la implementación. En lugar de tener dos casos en los que el almacén de claves podría estar cifrado o no, dependiendo de si la contraseña maestra está configurada, el código siempre se encripta.

Esto reduce la probabilidad de que una ruta de código que se olvida de cifrar cuando se habilita la Contraseña maestra pase desapercibida.

    
respondido por el Lie Ryan 31.05.2016 - 17:05
fuente
3

Yo diría que la razón es ofuscar las contraseñas almacenadas, y que la función "recordar contraseñas de sitios web" en Firefox se supone que siempre se usa con una clave maestra.

    
respondido por el dr01 30.05.2016 - 13:37
fuente

Lea otras preguntas en las etiquetas