Bài viết chỉ có mục đích giới thiệu về cơ chế lưu trữ password của Firefox từ đó có những cách sử dụng Firefox cho phù hợp.
Không sử dụng bài viết cho các mục đích khác, tác giả không chịu trách nhiệm cho những hành vi gây tổn hại cho cá nhân hay tổ chức.
Giới thiệu:
Có bao giờ bạn tự hỏi về cơ chế lưu trữ password của Firefox hoạt động như thế nào?
Bài viết sau đây sẽ minh họa việc decode password đã lưu của Firefox.
Đây là việc "xưa như trái đất", nhưng chưa thấy bài nào trên Vn-z nên mình đăng cho ae nào chưa biết.
Yêu cầu thực hiện:
Máy có cài python3 (phiên bản cùng với phiên bản của Firefox. Vd: nếu bạn cài Firefox 32 bit thì máy cần cài Python3 32bit)
Người dùng đã lưu mật khẩu trên trình duyệt Firefox
Người dùng không sử dụng "Master password" trên Firefox
Hệ điều hành / phiên bản đã test thành công:
Debian 9 / Firefox Qunatium 68.7.0esr (64-bit)
Window 7 Ultimate SP1 / Firefox 75.0 (64-bit)
Cách thức thực hiện:
Tải hoặc clone repo từ github
Mã:
https://github.com/unode/firefox_decrypt
Thực hiện lấy mật khẩu
Mã:
python firefox_decrypt.py
Kết quả thực tế
Đầu tiện, thử lưu mật khẩu FB vào trình duyệt
1. Lấy mật khẩu FB khi chưa đăng nhập vào Firefox
2. Lấy mật khẩu FB nếu người dùng đă đăng nhập vào Firefox
3. Lấy mật khẩu FB khi người dùng đã enable "Master Password"
Như vậy nếu không biết "Master Password" thì việc lấy mật khẩu theo cách này coi như phá sản.
4. Lấy mật khẩu sau khi người dùng đã đăng xuất khỏi Firefox
Nghĩa là dù bạn có đăng xuất khỏi Firefox đi nữa thì dữ liệu về password vẫn nằm trên ổ cứng.
Nếu nhập đúng "Master Password" thì vẫn giải mã ra đc Password.
5. Vấn đề đặt ra?
Trong quá trình cài đặt hoặc sử dụng Firefox không hề nhắc đến "Master Password", người dùng sẽ không biết nó dùng để làm gì, hoặc còn không biết đến sự tồn tại của nó. Do đó để đảm bảo an toàn cho mật khẩu của mình, bạn nên enable "Master Password" ngay.
Có những extension giúp quản lý mật khẩu bảo mật hơn rất nhiều, và miễn phí. Bạn có thể tham khảo Lastpass.
Không chỉ với FB, tất cả trang web mà Firefox đã lưu mật khẩu đều có thể bị giải mã.
Với những trang web "nhạy cảm" quan trọng, nên nhớ password trong đầu. Đây là phương pháp mạnh nhất không ai phá nổi.
Trình duyệt nào cũng view được mật khẩu đã lưu mà, nếu đã access được vào máy thì vào xem trực tiếp là nhanh nhất, ko lại mất công đi cài python và đống thư viện
Còn mật khẩu thì ko nên lưu trên trình duyệt trừ trường hợp account ko quan trong và dùng pass riêng/random.
Nói thật mình ko xài app quản lý pass nhưng cũng ko biết pass mấy cái account chính (Gmail/Facebook...) :haha:
Trình duyệt nào cũng view được mật khẩu đã lưu mà, nếu đã access được vào máy thì vào xem trực tiếp là nhanh nhất, ko lại mất công đi cài python và đống thư viện
Còn mật khẩu thì ko nên lưu trên trình duyệt trừ trường hợp account ko quan trong và dùng pass riêng/random.
Nói thật mình ko xài app quản lý pass nhưng cũng ko biết pass mấy cái account chính (Gmail/Facebook...) :haha:
Mình muốn bàn đến vấn đề bảo mật, còn về phía người dùng thì không nói làm gì.
Giả sử bạn chạy 1 tập tin nào đó từ Internet về, sử dụng phương thức như trên hoàn toàn có thể lấy được toàn bộ mật khẩu bạn đã lưu trên Firefox.
Mình dùng python để các bạn có thể chạy trực tiếp từ script và tìm hiểu, chứ hoàn toàn có thể build ra file exe và chạy độc lập được.
Chủ thớt xóa ngay dòng cuối đi nhé. Nhớ mật khẩu trong đầu là cái phương pháp yếu cmn nhất. Mật khẩu dễ nhớ thì sẽ ngắn, gồm những từ ngữ thông dụng và người dùng sẽ dùng một mật khẩu cho nhiều trang web, vì bố ai nhớ được 50 cái mật khẩu khác nhau. Từ đó dẫn đến việc hacker phá mật khẩu rồi áp dụng cho nhiều trang web. Mật khẩu ngắn thì brute-force, mật khẩu dài mà dễ nhớ thì dùng dictionary, kiểu gì cũng phá được.
Xưa giờ mình chỉ xài mỗi firefox và safari thôi. Cũng may là chịu khó vọc nên master password là cái đầu tiên mình phải đặt, có hơi bất tiện 1 chút là mở lên nó sẽ yêu cầu nhập, bù lại cho ai mượn máy cũng an tâm hơn, mình k nhập thì k ai có được.
Chủ thớt xóa ngay dòng cuối đi nhé. Nhớ mật khẩu trong đầu là cái phương pháp yếu cmn nhất. Mật khẩu dễ nhớ thì sẽ ngắn, gồm những từ ngữ thông dụng và người dùng sẽ dùng một mật khẩu cho nhiều trang web, vì bố ai nhớ được 50 cái mật khẩu khác nhau. Từ đó dẫn đến việc hacker phá mật khẩu rồi áp dụng cho nhiều trang web. Mật khẩu ngắn thì brute-force, mật khẩu dài mà dễ nhớ thì dùng dictionary, kiểu gì cũng phá được.
Mình nhớ mật khẩu trong đầu này, 8 ký tự bình thường, nhưng mật khẩu cuối cùng để đăng nhập vào các dịch vụ lại ko nhớ, vì một mật khẩu mình dùng các cách mã hóa khác nhau để đăng nhập vào các dịch vụ khác nhau.
Cách đây không lâu, mình từng là nạn nhân bị tống tiền hồi còn dùng firefox. Quả thật, hacker dùng password của mình bruteforce các website phổ biến. Nếu không có cơ chế báo động đăng nhập lạ của 1 số website thì mình còn không chắc là họ scan mình.
Mình đã mắc sai lầm và vô tình góp thêm 1 phần sức mạnh cho kẻ xấu. Tuy bị đe doạ & tống tiền nhưng thấy mình ko có gì đáng giá hoặc có gì nhạy cảm đi nữa thì có thể sẽ được nổi tiếng nên thây kệ. Đổi hết đống pass cũng muốn ngu người xong r thôi.
1 ngày nọ sau đó, máy mình chìm vào trong im lặng không thể mở lên được nữa, không biết có phải tên kia ăn ko đc phá cho hôi hay máy đã đến tuổi, đến giờ cũng đã thành trải nghiệm ko dễ chịu gì.
Chủ thớt xóa ngay dòng cuối đi nhé. Nhớ mật khẩu trong đầu là cái phương pháp yếu cmn nhất. Mật khẩu dễ nhớ thì sẽ ngắn, gồm những từ ngữ thông dụng và người dùng sẽ dùng một mật khẩu cho nhiều trang web, vì bố ai nhớ được 50 cái mật khẩu khác nhau. Từ đó dẫn đến việc hacker phá mật khẩu rồi áp dụng cho nhiều trang web. Mật khẩu ngắn thì brute-force, mật khẩu dài mà dễ nhớ thì dùng dictionary, kiểu gì cũng phá được.
Mình lưu ý với những trang Web quan trọng kiểu như ngân hàng, email công việc ...
Bạn có thể đặt mật khẩu theo tên những gì quen thuộc chỉ với bạn, người khác có thể không hiểu được.
Ví dụ: bạn hay vào VNZ thì bạn có thể mật khẩu nghĩ đến là: vnzthanthanh
sau đó bạn chọn chữ đầu tiên của từ thứ hai rồi viết hoa thành: vnzThanthanh
Khi vào VNZ thì bạn hay nhớ đến ngày giỗ tổ khi đó mk thành: vnzThanthanh3004
Giờ khi gõ số 04 ở cuối thì bạn thêm phím shift vào, nó thành: vnzThanthanh30)$
Đến đây giờ mình nghĩ là mật khẩu đủ mạnh rồi.
Đó chỉ là ví dụ chơi, bạn nghĩ 1 lúc là ra đầy quy tắc đặt mk cho mình, càng cá nhân hóa càng khó bị bẻ khóa.
Có tool cắm usb vào máy nạn nhân là tự chạy (autorun) lấy toàn bộ pass trên các trình duyệt 1 cách âm thầm
Password mình không hề lưu trên trình duyệt mà lưu qua soft bitwarden, còn mấy cái quan trọng như pass Ngân hàng lưu dạng decode 3 lớp và tự nhớ
Chủ thớt xóa ngay dòng cuối đi nhé. Nhớ mật khẩu trong đầu là cái phương pháp yếu cmn nhất. Mật khẩu dễ nhớ thì sẽ ngắn, gồm những từ ngữ thông dụng và người dùng sẽ dùng một mật khẩu cho nhiều trang web, vì bố ai nhớ được 50 cái mật khẩu khác nhau. Từ đó dẫn đến việc hacker phá mật khẩu rồi áp dụng cho nhiều trang web. Mật khẩu ngắn thì brute-force, mật khẩu dài mà dễ nhớ thì dùng dictionary, kiểu gì cũng phá được.