Avast AV podría leer las contraseñas guardadas de Firefox

39

Mi amigo usa la función de administrador de contraseñas incorporada de Firefox para guardar contraseñas para sitios. Más tarde, después de instalar Avast Free Antivirus hubo una función llamada Contraseñas en la interfaz de usuario de Avast. Cuando accedió, leyó todas las contraseñas almacenadas de Firefox y entregó este informe.

Esto muestra claramente que las contraseñas fueron leídas y comparadas por una herramienta de terceros (Avast). ¿Cómo guarda Firefox las contraseñas? ¿Es un error que está siendo explotado por Avast?

    
pregunta Ram 14.04.2016 - 23:14
fuente

4 respuestas

51

Las contraseñas guardadas por Firefox no están encriptadas (están encriptadas, pero la clave puede leerse) hasta que establezca una contraseña maestra. No creo que esto sea un error, pero todos los virus podrían leer esas contraseñas, no obstante

    
respondido por el RoiEX 14.04.2016 - 23:18
fuente
19

Firefox puede descifrar las contraseñas sin que usted ingrese una contraseña. Eso significa que debe tener la clave de descifrado, lo que significa que cualquier programa que sepa cómo almacena Firefox las cosas puede encontrarlos. Esto se aplica a cualquier programa que almacene información en su sistema. El cifrado es solo una defensa sólida si tiene que proporcionar la clave de descifrado antes de acceder a los datos almacenados. (Tenga en cuenta que esto se logra mediante el uso de la contraseña suministrada como clave de descifrado, sin contraseña, sin descifrado, sin acceso a los datos cifrados. Esto significa, de manera inherente, que no se puede recuperar la contraseña más que mediante el almacenamiento externo en algún lugar).

El cifrado de las contraseñas impide que alguien use el Bloc de notas para leer sus contraseñas, no impide un intento serio de encontrarlas.

    
respondido por el Loren Pechtel 15.04.2016 - 04:56
fuente
10
  

¿Cómo guarda Firefox las contraseñas?

Las respuestas anteriores ya han presentado la idea general, pero se puede proporcionar una explicación más detallada.

Firefox almacena toda la información del usuario en la carpeta del perfil. En Windows, se encuentra debajo de %APPDATA%\Mozilla\Firefox\Profiles\ ; y en Linux, ~/.mozilla/firefox/ .
La carpeta del perfil se crea la primera vez que se inicia Firefox para el usuario actual, y normalmente tiene un nombre "críptico", como y7ogrp85.default en mi caso. Este nombre debe ser único.

Desde la versión 32 de Firefox, dos archivos que residen en la carpeta del perfil son responsables de administrar las contraseñas guardadas dentro del navegador. Son: logins.json y key3.db .

El primer archivo, logins.json , contiene información real, como una lista de nombres de usuario, contraseñas, nombres de dominio, etc. También incluye los sitios web en los que optó por NO guardar una contraseña. Sin embargo, estos están encriptados. Puedes comprobarlo por ti mismo.

El segundo archivo, key3.db , contiene la clave para descifrar la información confidencial que se encuentra en el archivo anterior, como los nombres de usuario y las contraseñas.

Ahora, esta implementación no es un secreto (después de todo, Firefox es de código abierto), y cualquiera puede desarrollar sus propios medios para obtener las contraseñas de alguien leyendo estos archivos. De hecho, ya se ha hecho. Hay una herramienta de Nirsoft llamada PasswordFox que hace eso.

Hay una posible advertencia, y es la posibilidad de que el usuario haya implementado una "Contraseña maestra" en Firefox; esto cifrará el archivo key3.db . Pero también hay medios para evitarlo, forzando brutalmente el archivo con utilidades hechas para ese propósito, como John the Ripper y otros.

  

¿Es un error que está siendo explotado por Avast?

No, no es un error. Es exactamente la forma en que se ha diseñado el navegador (aunque no desde cero, ha evolucionado mucho desde las primeras versiones). Creo que es razonablemente conveniente y seguro. Mientras:

  • Su sistema no está comprometido;
  • Nadie en quien no confíe tiene acceso físico a su computadora, o incluso aún, acceso sin restricciones a sus archivos / su cuenta de usuario;
  • Sus archivos están protegidos por Full Disk Encryption, en caso de que su PC sea robada,

deberías estar bien. En cualquier caso, do recomiendo establecer una "Contraseña maestra" segura o, mejor aún, cambiar a un administrador de contraseñas dedicado como KeePass.


Nota: No estoy conectado con Nirsoft, Firefox o KeePass. Solo soy un usuario.

    
respondido por el Marc.2377 16.04.2016 - 11:22
fuente
1

Desafortunadamente, si todo lo que se necesita para obtener la contraseña de su sitio se almacena en su computadora, es potencialmente vulnerable al malware. La única manera de evitar esto es tener la entrada del usuario (de alguna forma). Es básicamente un intercambio entre conveniencia y seguridad.

Si no tiene un administrador de contraseñas en el que confía y está dispuesto a esforzarse en generar contraseñas únicas del sitio (lo que es mejor que usar una contraseña para todo o escribirlas todas o intentar recordarlas todas), Sugiero usar contraseñas que impliquen el cifrado del nombre del sitio a través de algo como el cifrado Playfair ( enlace ). Esto es lo suficientemente simple como para hacerlo a mano (por ejemplo, cuando no está en su propia computadora) o puede programarse fácilmente (como una aplicación separada que necesita que ingrese la tecla). Si necesita aumentar la fuerza, repita el resultado o agregue prefijos o sufijos. Obviamente, no solo genere automáticamente estas contraseñas del sitio, o haga que su navegador las recuerde.

    
respondido por el John Denniston 15.04.2016 - 19:12
fuente

Lea otras preguntas en las etiquetas