Hallo liebe Firefox-Freunde 
Weiß jemand nach welchem Muster die Passwörter im Passwort-Manager durch das Master-Passwort verschlüsselt werden? Wird ja hoffentlich nicht nur sowas wie ne monoalphabetische Substitution sein?!? 
Verschlüsselungsalgorithmus des Master-Passworts?
-
ladiko -
5. Juli 2008 um 14:04 -
Erledigt
-
Das ganze geschieht über ein Public und Private Key System. Der Private Key wird automatisch generiert, wenn vorhanden setzt dieser sich außerdem aus einem automatisch generierten Teil und dem Passwort zusammen. Dabei wird anscheinend 3DES eingesetzt.
Der Key wird in der key3.db gespeichert.
Um zu überprüfen ob das Passwort wahr ist wird dieses verschlüsselt und mit dem Key verglichen.
DES wurde zwar von AES abgelöst momentan kann man aber 3DES als weitgehend sicher betrachten. -
Nach meinen Informationen ist es AES, wenn ich mich recht erinnere mit einer Bitlänge von 128 - also ein anerkannter Verschlüsselungsalgorithmus. Wäre das anders, dann gäbe es auch Tools, die das Masterpasswort mit anderen Methoden als nur mit Brute Force knacken könnten.
Bei einem OpenSource-Produkt wäre Security by Obscurity wohl eindeutig der falsche Ansatz, allein schon, weil man Hackern ja dann gleich die fertig programmierte Knackanwendung mitliefern würde. Es geht darum, die Passwörter sicher vor Missbrauch zu schützen und nicht, sie künstlich vor Skriptkiddies zu verstecken.
Wenn das Masterpasswort gut gewählt ist, ist es sehr sicher, Passwörter im Firefox zu speichern. Selbst wenn dir jemand die entsprechenden Dateien aus deinem profil entwendet, dürfte er kaum eine Chance haben, an deine Logindaten zu kommen.
-
Es gibt Brute-Force tools um das Passwort zu entschlüsseln :
http://www.securityxploded.com/firemaster.php -
Zitat von PIGSgrame
Wäre das anders, dann gäbe es auch Tools, die das Masterpasswort mit anderen Methoden als nur mit Brute Force knacken könnten.
Es gibt genug Algorithmen die nicht weniger sicher sind als AES, Rijndael hat nur wegen seiner Performance gewonnen und die ist bei Passwörtern wirklich nebensächlich.
Hier geht es ja nicht um ganze Partitionen die verschlüsselt werden sollen und auch dafür wäre z.B. Twofish immer noch ausreichend schnell. -
Zitat von Echelon
Es gibt Brute-Force tools um das Passwort zu entschlüsseln :
http://www.securityxploded.com/firemaster.php
Dat ist ja mal cool... aber an selbst an meinem primitiven PW rechnet er zieeeemlich lange rum *g*
Aber das Tool gefällt mir.Aber jetzt würde mich auch mal interessieren, was für ein Algo verwendet wird. Von der Performanz her ist es wohl in der Tat nicht so relevant, da hätten sie auch Serpent nehmen können... Mal schaun, vllt weiß es ja jemand, hab leider noch keine Zeit gehabt, mir mal den Quelltext anzuschauen...
-
Man kann jedes Passwort mit Brute Force ermitteln dass ist ja nicht das Thema.
-
Zitat von DasIch
Man kann jedes Passwort mit Brute Force ermitteln dass ist ja nicht das Thema.
Dessen bin ich mir durchaus bewusst, allerdings hab ich noch nie ein BF-Tool bentuzt. Von daher fand ich das Teil ganz gut, zumal es halbwegs Vertrauens erweckend ist. Dass man alles mittels "Durchprobieren" irgendwann knacken kann, ist ja logisch. :roll: -
Zitat von Ebukadneza
Dessen bin ich mir durchaus bewusst, allerdings hab ich noch nie ein BF-Tool bentuzt. Von daher fand ich das Teil ganz gut, zumal es halbwegs Vertrauens erweckend ist.
Such dir eins aus:ZitatAlles anzeigen
bash-3.2$ yaourt -Ss brute
community/sshguard 1.0-1
SSH brute force detector. Blocks by ip with iptables
aur/dnsmap latest-1
bruteforce subdomain discovery tool
aur/medusa 1.4-1
Medusa is a speedy, massively parallel, modular, login brute-forcer for network
aur/rarcrack 0.2-1
This program uses bruteforce algorithm to find correct password (rar, 7z, zip)
aur/sqlbrute 1.0-1
SQLBrute is a tool for brute forcing data out of databases using blind SQL injection.
aur/sshdfilter 1.4.3.2-1
ssh brute force attack blocker
bash-3.2$ yaourt -Ss rainbow
aur/ophcrack 3.0-1
A Windows password cracker based on the faster time-memory trade-off using rainbow tables
aur/rainbowcrack 1.2-2
Password cracker based on the faster time-memory trade-off. Additional patches (NTLM, MD2, MD4, RIPEMD160, MySQL and Cisco PIX) included.
aur/sonic-rainbow 0.7.2.2-2
Sonic-Rainbow is a GUI Multi-Media player
bash-3.2$ yaourt -Ss crack
core/cracklib 2.8.10-5 [installed]
Password Checking Library
extra/john 1.7.0.2-3
John the Ripper is a fast password cracker. Additional patches (NTLM, MySQL, Kerberos V5, etc.) included.
community/crack-attack 1.1.14-4
A free OpenGL game based on the Super Nintendo classic Tetris Attack
community/fcrackzip 0.3-4
A zip file password cracker
community/aircrack-ng 1.0_rc1-1
A key cracker for the 802.11 WEP and WPA-PSK protocols
aur/aircrack-ng-svn 1074-6
Wifi security suite - WEP / WPA crack tools -- with SQLite3.
aur/airgtkrack-svn 188-1
Graphical Wifi cracking tool
aur/bottlerocket 0.04c-1
BottleRocket is a utility to allow the use of the X10 FireCracker wireless appliance control kit
aur/cowpatty 4.0-1
Wireless WPA/WPA2 PSK handshake cracking utility
aur/crark 3.1-1
A command-line utility for RAR 2.x-3.x password cracking, uses Password Cracking Library 2.0 that supports special password recovery language. Highly optimized for all modern processors
aur/haskell-crack 0.1-1
A haskell binding to cracklib
aur/hydra 5.4-1
A very fast network logon cracker which support many different services
aur/lib32-cracklib 2.8.10-2
Password Checking Library
aur/madwifi-aircrack 0.9.3.3-2
Madwifi drivers for Atheros wireless chipsets, patched to support packet injection
aur/madwifi-aircrack-tp 0.9.4-2
Madwifi drivers for Atheros wireless chipsets, patched to support packet injection
aur/madwifi-ng.aircrack 0.9.4.3382-5
Madwifi drivers for Atheros wireless chipsets. Patched for packet injection support.
aur/mdcrack 1.2-1
MD4/MD5/NTLM1 hash cracker
aur/ophcrack 3.0-1
A Windows password cracker based on the faster time-memory trade-off using rainbow tables
aur/pdfcrack 0.9-2
Password recovery tool for PDF-files
aur/perl-crypt-cracklib 1.1-1
Perl interface to Alec Muffett's Cracklib.
aur/php-crack 0.4-1
This package provides an interface to the cracklib (libcrack) libraries that come standard on most unix-like distributions.
aur/python-crack 0.5.1-2
Python bindings for cracklib.
aur/rainbowcrack 1.2-2
Password cracker based on the faster time-memory trade-off. Additional patches (NTLM, MD2, MD4, RIPEMD160, MySQL and Cisco PIX) included.
aur/rarcrack 0.2-1
This program uses bruteforce algorithm to find correct password (rar, 7z, zip)
aur/rtl8187-ng 1010-2
Drivers for Realtek RTL8187l Wifi card - Aircrack-ng patched (Monitor/Injection)
aur/sipcrack 0.2-1
SIPcrack is a SIP protocol login cracker.
aur/vncrack 1.21-2
What it looks like: crack VNC.
aur/weplab 0.1.5-1
A WEP encryption cracker -
Zitat von DasIch
Such dir eins aus:Ne danke, hab ne Freundin.
-
WEP Verbindungen lassen sich innerhalb weniger Sekunden ******, wenn man überhaupt von mehreren Sekunden reden kann.
Moment? Liest Schäuble hier mit? *editier* -
danke für die antwort, dann kann ich ja mit passwort, das den üblichen anforderungen entspricht, beruhigt schlafen
-
Zitat von Ebukadneza
Dass man alles mittels "Durchprobieren" irgendwann knacken kann, ist ja logisch. :roll:
Einspruch Euer Ehren:
Es gibt eine einzige Ausnahme: das OneTimePad. Da gehts nicht ... .MfG Peter
-
Zitat von DasIch
Moment? Liest Schäuble hier mit? *editier*
es ist doch verboten, deshalb ist es sicher!
-
Absolut lesenswert Algorithmus der Woche » Der One-Time-Pad-Algorithmus
-
Zitat von .Ulli
Absolut lesenswert Algorithmus der Woche » Der One-Time-Pad-Algorithmus
Wirklich sehr gut erklärt und sehr interessant.
