Discussione Domanda Portachiavi offline, Keepass VS Mozilla

Eoloprox

Utente Emerald
20 Marzo 2016
599
148
51
351
Mi hanno da poco dei cracker ricattato, possedendo e provandomi le mie credenziali, e minacciando di pubblicare tutto, dopo avere cambiato tutte le PSW del caso, utilizzo un portachiavi e tutte le PSW offline.... Con KeepAss... Mi chiedevo se salvando le password sul browser e disattivando la sincronizzazione con il cloud, sarei punto a capo in questo caso, perché se entrano le portachiavi di mozzilla.... NO?
 
Rubare le password da Mozilla è davvero braindead, ci riesce anche il gatto che sta graffiando qua alla porta...
Mozilla è sicuro per conservare le password solo se le proteggi con la "master password", che può essere craccata solo con un keylogger, o con un bruteforce (qualora sia una parola facile)

Con la MP Mozilla funge da ottimo password manager, ma se non la usi chiunque ti entra con una reverse shell con capacità di file transfering ti hackera... Basta scaricare 3 file dall'user profile per riuscirci, questi 3 file possono in seguito essere processati offline per recuperare le password in plain text, usando un tool open source. Metti la MP e stai a posto.
 
  • Mi piace
Reazioni: DispatchCode
quindi le psw sono in chiaro (se non imposti MP) dentro il mio device... Ho appena messo la MP, questa se non è robusta si puo rompere con un bruteforce?
 
Ultima modifica:
No, non sono in chiaro. Sono codificate in una semplice stringa di base64 all'interno di un file chiamato signons.sqlite o logins.json, ma base64 è tutt'altro che un algoritmo forte, esistono anche online dei siti web che decodificano in formato human readable le stringhe di base64.

Aggiungendo la master password, le password vengono criptate con un algoritmo chiamato PBKDF2 (Password-Based Key Derivation Function 2), che rende molto più lento e difficile il processo di cracking. A quel punto se io fossi l'attaccante, l'unica possibilità che mi resta è inviare un keylogger, e sperare di farti abboccare con un po' di social engineering (un po' triste, perché per me il social engineering non è hacking... chiunque sa dire bene le bugie è un ingegnere sociale, hacking o no).

Una strada più interessante sarebbe rilevare un qualche tipo di vulnerabilità di tipo information disclosure nell'algoritmo di Firefox, anche se penso che finirà come su Instagram... Ma la challenge è pur sempre la challenge.
Messaggio unito automaticamente:

Scusa per una piccola imprecisazione. Non sono codificate solo con base64, ma anche con una chiave di decriptazione generata in modo dinamico, e conservata in key4.db (o key3.db), in ogni caso semplice da scoprire e da riutilizzare per il cracking. Con la MP questo processo viene arrestato, rendendo il cracking più difficile
 
azz, ammazza oh, ci manca solo Star Trek e l'Enterprise, dai skerzo, grazie delle dritte, ora metto sempre la Master password ciao
Boh, non l'ho manco capito... Comunque sì con una password complessa, se scegli una parola semplice come "football123" o "admin123" allora sì sei vulnerabile a rockyou.txt

Cerca di personalizzarla come meglio puoi, e ricordarla a memoria... Alcuni la scrivono su un foglio e poi lo nascondono in mini-casseforti... A tua discrezione.
 
Ultima modifica:
No la metto nel Kee-Pass, la psw è molto complessa 12 caratteri, numerici, lettere (maiuscole e minuscole) e caratteri speciali... Cos'è rockyou.txt un dizionario?
 
No la metto nel Kee-Pass, la psw è molto complessa 12 caratteri, numerici, lettere (maiuscole e minuscole) e caratteri speciali... Cos'è rockyou.txt un dizionario?
Sì, è continuamente aggiornato, e Kali Linux possiede una versione semplificata che comprende circa 20 milioni di password se non ricordo male. Ma il file originale ne conteneva miliardi di milioni