Mi hanno da poco dei cracker ricattato, possedendo e provandomi le mie credenziali, e minacciando di pubblicare tutto, dopo avere cambiato tutte le PSW del caso, utilizzo un portachiavi e tutte le PSW offline.... Con KeepAss... Mi chiedevo se salvando le password sul browser e disattivando la sincronizzazione con il cloud, sarei punto a capo in questo caso, perché se entrano le portachiavi di mozzilla.... NO?
Discussione Domanda Portachiavi offline, Keepass VS Mozilla
- Autore discussione Eoloprox
- Data d'inizio
- Stato
Rubare le password da Mozilla è davvero braindead, ci riesce anche il gatto che sta graffiando qua alla porta...
Mozilla è sicuro per conservare le password solo se le proteggi con la "master password", che può essere craccata solo con un keylogger, o con un bruteforce (qualora sia una parola facile)
Con la MP Mozilla funge da ottimo password manager, ma se non la usi chiunque ti entra con una reverse shell con capacità di file transfering ti hackera... Basta scaricare 3 file dall'user profile per riuscirci, questi 3 file possono in seguito essere processati offline per recuperare le password in plain text, usando un tool open source. Metti la MP e stai a posto.
Mozilla è sicuro per conservare le password solo se le proteggi con la "master password", che può essere craccata solo con un keylogger, o con un bruteforce (qualora sia una parola facile)
Con la MP Mozilla funge da ottimo password manager, ma se non la usi chiunque ti entra con una reverse shell con capacità di file transfering ti hackera... Basta scaricare 3 file dall'user profile per riuscirci, questi 3 file possono in seguito essere processati offline per recuperare le password in plain text, usando un tool open source. Metti la MP e stai a posto.
Ultima modifica:
No, non sono in chiaro. Sono codificate in una semplice stringa di base64 all'interno di un file chiamato signons.sqlite o logins.json, ma base64 è tutt'altro che un algoritmo forte, esistono anche online dei siti web che decodificano in formato human readable le stringhe di base64.
Aggiungendo la master password, le password vengono criptate con un algoritmo chiamato PBKDF2 (Password-Based Key Derivation Function 2), che rende molto più lento e difficile il processo di cracking. A quel punto se io fossi l'attaccante, l'unica possibilità che mi resta è inviare un keylogger, e sperare di farti abboccare con un po' di social engineering (un po' triste, perché per me il social engineering non è hacking... chiunque sa dire bene le bugie è un ingegnere sociale, hacking o no).
Una strada più interessante sarebbe rilevare un qualche tipo di vulnerabilità di tipo information disclosure nell'algoritmo di Firefox, anche se penso che finirà come su Instagram... Ma la challenge è pur sempre la challenge.
Scusa per una piccola imprecisazione. Non sono codificate solo con base64, ma anche con una chiave di decriptazione generata in modo dinamico, e conservata in key4.db (o key3.db), in ogni caso semplice da scoprire e da riutilizzare per il cracking. Con la MP questo processo viene arrestato, rendendo il cracking più difficile
Aggiungendo la master password, le password vengono criptate con un algoritmo chiamato PBKDF2 (Password-Based Key Derivation Function 2), che rende molto più lento e difficile il processo di cracking. A quel punto se io fossi l'attaccante, l'unica possibilità che mi resta è inviare un keylogger, e sperare di farti abboccare con un po' di social engineering (un po' triste, perché per me il social engineering non è hacking... chiunque sa dire bene le bugie è un ingegnere sociale, hacking o no).
Una strada più interessante sarebbe rilevare un qualche tipo di vulnerabilità di tipo information disclosure nell'algoritmo di Firefox, anche se penso che finirà come su Instagram... Ma la challenge è pur sempre la challenge.
Messaggio unito automaticamente:
Scusa per una piccola imprecisazione. Non sono codificate solo con base64, ma anche con una chiave di decriptazione generata in modo dinamico, e conservata in key4.db (o key3.db), in ogni caso semplice da scoprire e da riutilizzare per il cracking. Con la MP questo processo viene arrestato, rendendo il cracking più difficile
Boh, non l'ho manco capito... Comunque sì con una password complessa, se scegli una parola semplice come "football123" o "admin123" allora sì sei vulnerabile a rockyou.txt
Cerca di personalizzarla come meglio puoi, e ricordarla a memoria... Alcuni la scrivono su un foglio e poi lo nascondono in mini-casseforti... A tua discrezione.
Sì, è continuamente aggiornato, e Kali Linux possiede una versione semplificata che comprende circa 20 milioni di password se non ricordo male. Ma il file originale ne conteneva miliardi di milioni
- Stato