[huyheo09]

thank bác, bài viết rất hay, mình dùng firefox lâu rồi mà không biết đến sự tồn tại của cái Master Password này

 

[tregiengchan]

thank bác, bài viết rất hay, mình dùng firefox lâu rồi mà không biết đến sự tồn tại của cái Master Password này

Ngay từ lần chạy đầu tiên, Firefox nên thông báo tính năng này cho người dùng, đằng này họ lại ỉm đi, mặc định là disable.

 

[baonht]

Mục đích bài viết:

• Bài viết chỉ có mục đích giới thiệu về cơ chế lưu trữ password của Firefox từ đó có những cách sử dụng Firefox cho phù hợp.
• Không sử dụng bài viết cho các mục đích khác, tác giả không chịu trách nhiệm cho những hành vi gây tổn hại cho cá nhân hay tổ chức.

Giới thiệu:

• Có bao giờ bạn tự hỏi về cơ chế lưu trữ password của Firefox hoạt động như thế nào?
• Bài viết sau đây sẽ minh họa việc decode password đã lưu của Firefox.
• Đây là việc "xưa như trái đất", nhưng chưa thấy bài nào trên Vn-z nên mình đăng cho ae nào chưa biết.

Yêu cầu thực hiện:

• Máy có cài python3 (phiên bản cùng với phiên bản của Firefox. Vd: nếu bạn cài Firefox 32 bit thì máy cần cài Python3 32bit)
• Người dùng đã lưu mật khẩu trên trình duyệt Firefox
• Người dùng không sử dụng "Master password" trên Firefox
• Hệ điều hành / phiên bản đã test thành công:
  • Debian 9 / Firefox Qunatium 68.7.0esr (64-bit)​
  • Window 7 Ultimate SP1 / Firefox 75.0 (64-bit)​

No quote

Mục đích bài viết:

• Bài viết chỉ có mục đích giới thiệu về cơ chế lưu trữ password của Firefox từ đó có những cách sử dụng Firefox cho phù hợp.
• Không sử dụng bài viết cho các mục đích khác, tác giả không chịu trách nhiệm cho những hành vi gây tổn hại cho cá nhân hay tổ chức.

Giới thiệu:

• Có bao giờ bạn tự hỏi về cơ chế lưu trữ password của Firefox hoạt động như thế nào?
• Bài viết sau đây sẽ minh họa việc decode password đã lưu của Firefox.
• Đây là việc "xưa như trái đất", nhưng chưa thấy bài nào trên Vn-z nên mình đăng cho ae nào chưa biết.

Yêu cầu thực hiện:

• Máy có cài python3 (phiên bản cùng với phiên bản của Firefox. Vd: nếu bạn cài Firefox 32 bit thì máy cần cài Python3 32bit)
• Người dùng đã lưu mật khẩu trên trình duyệt Firefox
• Người dùng không sử dụng "Master password" trên Firefox
• Hệ điều hành / phiên bản đã test thành công:
  • Debian 9 / Firefox Qunatium 68.7.0esr (64-bit)​
  • Window 7 Ultimate SP1 / Firefox 75.0 (64-bit)​

No quote

Mình cũng là fan của Firefox. Tks bạn

 

[gaoi12345]

thanks đã chia sẻ

 

[fahabu179]

Mình dùng firefox nhưng không lưu mật khẩu. Gõ mật khẩu nhiều lúc hơi bất tiện nhưng mình thấy an toàn hơn lưu lại.

 

[091xxx2262]

Thank bạn. Hóng để tìm hiểu

 

[vuquanhuan]

Mở firefox ra, vào phần quản lý mật khẩu ra là view được mà nhỉ?

 

[TekMonts]

Trình duyệt nào cũng view được mật khẩu đã lưu mà, nếu đã access được vào máy thì vào xem trực tiếp là nhanh nhất, ko lại mất công đi cài python và đống thư viện
Còn mật khẩu thì ko nên lưu trên trình duyệt trừ trường hợp account ko quan trong và dùng pass riêng/random.
Nói thật mình ko xài app quản lý pass nhưng cũng ko biết pass mấy cái account chính (Gmail/Facebook...) :haha:

 

[tregiengchan]

Mở firefox ra, vào phần quản lý mật khẩu ra là view được mà nhỉ?

Trình duyệt nào cũng view được mật khẩu đã lưu mà, nếu đã access được vào máy thì vào xem trực tiếp là nhanh nhất, ko lại mất công đi cài python và đống thư viện
Còn mật khẩu thì ko nên lưu trên trình duyệt trừ trường hợp account ko quan trong và dùng pass riêng/random.
Nói thật mình ko xài app quản lý pass nhưng cũng ko biết pass mấy cái account chính (Gmail/Facebook...) :haha:

Mình muốn bàn đến vấn đề bảo mật, còn về phía người dùng thì không nói làm gì.
Giả sử bạn chạy 1 tập tin nào đó từ Internet về, sử dụng phương thức như trên hoàn toàn có thể lấy được toàn bộ mật khẩu bạn đã lưu trên Firefox.

Mình dùng python để các bạn có thể chạy trực tiếp từ script và tìm hiểu, chứ hoàn toàn có thể build ra file exe và chạy độc lập được.

 

[lelihuzi]

Chủ thớt xóa ngay dòng cuối đi nhé. Nhớ mật khẩu trong đầu là cái phương pháp yếu cmn nhất. Mật khẩu dễ nhớ thì sẽ ngắn, gồm những từ ngữ thông dụng và người dùng sẽ dùng một mật khẩu cho nhiều trang web, vì bố ai nhớ được 50 cái mật khẩu khác nhau. Từ đó dẫn đến việc hacker phá mật khẩu rồi áp dụng cho nhiều trang web. Mật khẩu ngắn thì brute-force, mật khẩu dài mà dễ nhớ thì dùng dictionary, kiểu gì cũng phá được.

 

[Thanh Nguyen Hoang Nhat]

Xưa giờ mình chỉ xài mỗi firefox và safari thôi. Cũng may là chịu khó vọc nên master password là cái đầu tiên mình phải đặt, có hơi bất tiện 1 chút là mở lên nó sẽ yêu cầu nhập, bù lại cho ai mượn máy cũng an tâm hơn, mình k nhập thì k ai có được.

 

[TekMonts]

Chủ thớt xóa ngay dòng cuối đi nhé. Nhớ mật khẩu trong đầu là cái phương pháp yếu cmn nhất. Mật khẩu dễ nhớ thì sẽ ngắn, gồm những từ ngữ thông dụng và người dùng sẽ dùng một mật khẩu cho nhiều trang web, vì bố ai nhớ được 50 cái mật khẩu khác nhau. Từ đó dẫn đến việc hacker phá mật khẩu rồi áp dụng cho nhiều trang web. Mật khẩu ngắn thì brute-force, mật khẩu dài mà dễ nhớ thì dùng dictionary, kiểu gì cũng phá được.

Mình nhớ mật khẩu trong đầu này, 8 ký tự bình thường, nhưng mật khẩu cuối cùng để đăng nhập vào các dịch vụ lại ko nhớ, vì một mật khẩu mình dùng các cách mã hóa khác nhau để đăng nhập vào các dịch vụ khác nhau.

 

[rattonwing]

Cách đây không lâu, mình từng là nạn nhân bị tống tiền hồi còn dùng firefox. Quả thật, hacker dùng password của mình bruteforce các website phổ biến. Nếu không có cơ chế báo động đăng nhập lạ của 1 số website thì mình còn không chắc là họ scan mình.

Mình đã mắc sai lầm và vô tình góp thêm 1 phần sức mạnh cho kẻ xấu. Tuy bị đe doạ & tống tiền nhưng thấy mình ko có gì đáng giá hoặc có gì nhạy cảm đi nữa thì có thể sẽ được nổi tiếng nên thây kệ. Đổi hết đống pass cũng muốn ngu người xong r thôi.

1 ngày nọ sau đó, máy mình chìm vào trong im lặng không thể mở lên được nữa, không biết có phải tên kia ăn ko đc phá cho hôi hay máy đã đến tuổi, đến giờ cũng đã thành trải nghiệm ko dễ chịu gì.

 

[tregiengchan]

Chủ thớt xóa ngay dòng cuối đi nhé. Nhớ mật khẩu trong đầu là cái phương pháp yếu cmn nhất. Mật khẩu dễ nhớ thì sẽ ngắn, gồm những từ ngữ thông dụng và người dùng sẽ dùng một mật khẩu cho nhiều trang web, vì bố ai nhớ được 50 cái mật khẩu khác nhau. Từ đó dẫn đến việc hacker phá mật khẩu rồi áp dụng cho nhiều trang web. Mật khẩu ngắn thì brute-force, mật khẩu dài mà dễ nhớ thì dùng dictionary, kiểu gì cũng phá được.

Mình lưu ý với những trang Web quan trọng kiểu như ngân hàng, email công việc ...
Bạn có thể đặt mật khẩu theo tên những gì quen thuộc chỉ với bạn, người khác có thể không hiểu được.

Ví dụ: bạn hay vào VNZ thì bạn có thể mật khẩu nghĩ đến là: vnzthanthanh
sau đó bạn chọn chữ đầu tiên của từ thứ hai rồi viết hoa thành: vnzThanthanh
Khi vào VNZ thì bạn hay nhớ đến ngày giỗ tổ khi đó mk thành: vnzThanthanh3004
Giờ khi gõ số 04 ở cuối thì bạn thêm phím shift vào, nó thành: vnzThanthanh30)$
Đến đây giờ mình nghĩ là mật khẩu đủ mạnh rồi.

Đó chỉ là ví dụ chơi, bạn nghĩ 1 lúc là ra đầy quy tắc đặt mk cho mình, càng cá nhân hóa càng khó bị bẻ khóa.

 

[desperadovn]

Mình thấy cái Credential Manager cũng lưu lại PW mà đôi lúc ko thấy

 

[ai0ia]

Cảm ơn bác, bài viết hay và chi tiết, từ trước giờ mình cũng không quan tâm đến cái: "Master Password", giờ mình sẽ bật nó lên...

 

[dragonking91]

Có tool cắm usb vào máy nạn nhân là tự chạy (autorun) lấy toàn bộ pass trên các trình duyệt 1 cách âm thầm
Password mình không hề lưu trên trình duyệt mà lưu qua soft bitwarden, còn mấy cái quan trọng như pass Ngân hàng lưu dạng decode 3 lớp và tự nhớ

 

[Piranha]

Chủ thớt xóa ngay dòng cuối đi nhé. Nhớ mật khẩu trong đầu là cái phương pháp yếu cmn nhất. Mật khẩu dễ nhớ thì sẽ ngắn, gồm những từ ngữ thông dụng và người dùng sẽ dùng một mật khẩu cho nhiều trang web, vì bố ai nhớ được 50 cái mật khẩu khác nhau. Từ đó dẫn đến việc hacker phá mật khẩu rồi áp dụng cho nhiều trang web. Mật khẩu ngắn thì brute-force, mật khẩu dài mà dễ nhớ thì dùng dictionary, kiểu gì cũng phá được.

Giờ này còn dùng tự điển để mò thì chỉ còn pass wifi của mấy tiệm nước mía.

 

[dragonking91]

Giờ này còn dùng tự điển để mò thì chỉ còn pass wifi của mấy tiệm nước mía.

Cho bác nói lại đó, bác có từ điển ngon đi, dò được kha khá đấy