Защита паролей в Firefox

1 мин. на чтение

Все в мире, к сожалению даже сисадмины, используют функцию сохранения паролей в браузерах. Проблемы в этом вопросе я всегда в принципе выделяю две:

  • если пароль всегда вводится автоматом, его очень легко забыть и к сожалению не все пароли можно безболезненно восстановить;
  • об этой проблеме сейчас и буду писать: пароли, даже если они закрыты звездочками (точечками) очень легко выуживаются

Так как я поклонник браузера Mozilla Firefox, то не могу не написать статью о том, как уберечь свои пароли в этом браузере от кражи. Сценарий нашей кражи крайне прост: злоумышленнику достаточно получить доступ к вашему профилю (например, сделать бекап через mozbackup) или просто прямой доступ к ПК на некоторое время.

Причем у него даже есть выбор, как это сделать!!!

Способ без хакерских приемчиков

Зайти в Инструменты—>Настройки. Перейти во вкладку Защита. Там наш хакер увидит такую картинку

Тыкаем на кнопку сохраненные пароли и вуаля. Попадаем в окошго, где злоумышленника от наших паролей отделяет только одна кнопка:

Сейчас она называется «Скрыть пароли», но до этого называлась «Показать пароли». Все, после этой кнопки все пароли будут видны как на ладони. Свои пассы я естественно затер, но у вас они будут видны ;)

Способ второй. «Хакерский»

Тут конечно уже без приемчиков не обойдешься, но зато не нужно ковыряться в безднах браузерных окон. Если злоумышенник увидит такую картинку, считайте, что пароль у него уже в кармане.

Разберем картинку. Под системным сообщением присутствует обычная функция авторизации в почте mail.ru (поклонники gmail, как и любой другой почты и не только почты не спешите расслабляться, эта функция сработает ВЕ-З-ДЕ). Если злоумышленник увидит ваш пароль как звездочки, значит считайте он уже у него.

Делается это с помощью все того же javascript’а (господи, как же я их ненавижу!). Вот код:

javascript:(function(){var%20s,F,j,f,i;%20s%20=%20"";%20F%20=%20document.forms;%20for(j=0;%20j<F.length;%20++j)%20{%20f%20=%20F[j];%20for%20(i=0;%20i<f.length;%20++i)%20{%20if%20(f[i].type.toLowerCase()%20==%20"password")%20s%20+=%20f[i].value%20+%20"\n";%20}%20}%20if%20(s)%20alert("Passwords%20in%20forms%20on%20this%20page:\n\n"%20+%20s);%20else%20alert("There%20are%20no%20passwords%20in%20forms%20on%20this%20page.");})();

Этот код достаточно разместить в Firefox на панели закладок, вписав его в поле Адрес. Дайте ему любое имя, например ViewPass. Заходите на страницу авторизации. Видите пароль в точках? Тогда тыкаем в ViewPass и вуаля! Добрый браузер сообщает нам пароль (видно на картинке с mail.ru) :(

Таким образом можно получать доступ: к любым он-лайн сервисам, работающим через браузер, где есть форма авторизации.

Теперь же поговорим о том, как этому противостоять?

Защита паролей в Firefox

1. Это, правда, у браузеру прямого отношения не имеет, но привычка крайне полезная. Блокируйте свой сеанс при отлучении от ПК на любое время. В ОС семейства Windows это делается с помощью сочетания клавиш Win+L (клавиша Win это та, что с логотипом. Находится между кнопками Ctrl и Alt). Естественно, это имеет смысл делать, если на вашу учетную запись установлен пароль! Если у вас нет пароля, обязательно его установите.

2. Используйте мастер пароль. Его можно создать в той же вкладке, что и просмотр паролей. Инструменты—>Настройки. Перейти во вкладку Защита.

Теперь при попытке обращения к любым сохраненным паролям, будет запрошен мастер-пароль. Он будет действовать до перезапуска Firefox. Потом его нужно ввести снова.

Как видите из иллюстрации, поля имя пользователя и пароль не заполняются пока не будет введен мастер-пароль. Также обратите внимание, что это окно нельзя обойти. Т.е. наша кнопка ViewPass не только бесполезна, но и неактивна! Единственный способ либо ввести пароль, либо нажать кнопку Отмена. Тогда вы просто попадете на страницу сайта без каких введенных данных.

Также мастер-пароль будет запрошен, если вы или злоумышленник попытаются узнать пароли через сохраненные пароли.

3. Если стандартным Firefox-средствам хранения паролей вы не доверяете, используйте дополнения с хорошим рейтингом в системе Дополнений к Firefox. Тут к сожалению ручатся за конкретные дополнения не могу. Я использовал одно время RoboForm Password Manager и он мне показался не плох, но почита сейчас отзывы, его обхалили. Поэтому ничего проверенного посоветовать не могу.

Игорь Чишкала

Директор по технологиям в SoftForge.
Люблю ИТ, пишу технические статьи в этом блоге или для сайта фриланс-биржи Upwork. Кодю на PHP с использованием фреймворков Laravel или Symfony.

Оцените автора
Авторский блог Игоря Чишкалы
Добавить комментарий для Игорь Чишкала Отменить ответ

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.

  1. Jack Chikovany

    Некоторые (если что-то кому-то скажет, то ведущие Радио-Т точно используют) OnePassword. Но он просит денег.
    Я использую LastPass — бесплатно и под все браузеры.
    Вопросом его непробиваемости не задавался, но выглядит неплохо (не показывайте этот пост Безмалому:) )

    Ответить
    1. Игорь Чишкала автор

      Владимир предложил написать каст по взлому любого пароля, сохраненного в браузере. Я безусловно «за» такой каст.

      Ответить
      1. Jack Chikovany

        Запишет — посмотрим и попробуем применить к себе :)

        Ответить
        1. Игорь Чишкала автор

          Мне не помешает, у меня как раз один клиент начисто забыл свой пасс, а он в сохраненных паролях обозначен… звездочками. Такое оказывается бывает при миграции из старых версий лисички в новые. Т.е. сам браузер пароль знает, но показать его пользователю не собирается ни под каким предлогом. Осталась только надежда на Владимира Безмалого ;)

          Ответить