Ultima modifica:
No, non sono in chiaro. Sono codificate in una semplice stringa di base64 all'interno di un file chiamato signons.sqlite o logins.json, ma base64 è tutt'altro che un algoritmo forte, esistono anche online dei siti web che decodificano in formato human readable le stringhe di base64.
Aggiungendo la master password, le password vengono criptate con un algoritmo chiamato PBKDF2 (Password-Based Key Derivation Function 2), che rende molto più lento e difficile il processo di cracking. A quel punto se io fossi l'attaccante, l'unica possibilità che mi resta è inviare un keylogger, e sperare di farti abboccare con un po' di social engineering (un po' triste, perché per me il social engineering non è hacking... chiunque sa dire bene le bugie è un ingegnere sociale, hacking o no).
Una strada più interessante sarebbe rilevare un qualche tipo di vulnerabilità di tipo information disclosure nell'algoritmo di Firefox, anche se penso che finirà come su Instagram... Ma la challenge è pur sempre la challenge.
Scusa per una piccola imprecisazione. Non sono codificate solo con base64, ma anche con una chiave di decriptazione generata in modo dinamico, e conservata in key4.db (o key3.db), in ogni caso semplice da scoprire e da riutilizzare per il cracking. Con la MP questo processo viene arrestato, rendendo il cracking più difficile
Aggiungendo la master password, le password vengono criptate con un algoritmo chiamato PBKDF2 (Password-Based Key Derivation Function 2), che rende molto più lento e difficile il processo di cracking. A quel punto se io fossi l'attaccante, l'unica possibilità che mi resta è inviare un keylogger, e sperare di farti abboccare con un po' di social engineering (un po' triste, perché per me il social engineering non è hacking... chiunque sa dire bene le bugie è un ingegnere sociale, hacking o no).
Una strada più interessante sarebbe rilevare un qualche tipo di vulnerabilità di tipo information disclosure nell'algoritmo di Firefox, anche se penso che finirà come su Instagram... Ma la challenge è pur sempre la challenge.
Messaggio unito automaticamente:
Scusa per una piccola imprecisazione. Non sono codificate solo con base64, ma anche con una chiave di decriptazione generata in modo dinamico, e conservata in key4.db (o key3.db), in ogni caso semplice da scoprire e da riutilizzare per il cracking. Con la MP questo processo viene arrestato, rendendo il cracking più difficile