A Mozilla Firefox webböngésző legújabb kiadása némileg szigorított a tárolt jelszavak kezelésén.
A modern webböngészők lehetőséget adnak a felhasználók számára, hogy elmentsék a jelszavaikat, illetve azokkal automatikusan kitöltsék a megfelelő bejelentkezési mezőket. Mindez kényelmesebbé és egyszerűbbé teszi a különféle weboldalakra történő belépéseket. Sajnos azonban ennek a módszernek is megvannak a maga hátrányai. Ezek közül a legfontosabb, hogy a mentett jelszavak kiegészítő védelem nélkül kiszolgáltatottá válhatnak az adatlopásra specializálódott kártékony programokkal szemben, amelyek könnyedén ki tuják olvasni a mentett adatokat a böngészőkből, majd azokat illetéktelenek kezébe juttathatják.
A Google Chromium alapú webböngészők (mint amilyen például Chrome és az Edge is), a jelszavak megtekintése előtt megkövetelik a felhasználótól azt, hogy az operációs rendszerhez tartozó jelszavát megadja. A Firefox azonban eddig nem volt ilyen szigorú.
Már a Firefox sem kivétel
A Mozilla belátta, hogy erősítenie kell a Firefox jelszókezelésének egyes eljárásait annak érdekében, hogy a kockázatok csökkenthetők legyenek különösen abban az esetben, ha egy adott számítógépen lévő felhasználói fiókhoz illetéktelen személy hozzáférést szerez. Eddig ugyanis ilyen esetben a Firefox jelszókezelőjéből mindenféle gond nélkül ki lehetett nézni a jelszavakat. Mindez azonban a 127-es verziótól kezdődően már nincs így, hiszen a Chrome mintájára megérkezett az extra hitelesítési lépés. Vagyis mostantól, ha bárki meg szeretné nézni a Firefoxban elmentett jelszavakat, akkor előbb meg kell adnia az adott felhasználói fiók jelszavát, PIN kódját vagy egyéb módon (például ujjlenyomattal) kell azonosítania magát. Legalábbis Windows és macOS használata esetén.
Nagyon fontos megjegyezni, hogy a Firefox 127-ben bevezetett extra hitelesítési lépés nem védi meg a tárolt jelszavakat a kártékony programoktól, ezért ezzel a kockázattal továbbra is számolniuk kell azoknak, akik a böngészőkre bízzák a jelszavaikat. Nem csoda, hogy a Mozilla is azt javasolja, hogy a böngészős jelszókezeléshez lehetőleg legyen beállítva egy elsődleges (mester) jelszó, amely már képes megnehezíteni az adattlopó károkozók dolgát. Ugyan ez esetben is megmarad a brute force típusú jelszótörés lehetősége, de egy erős elsődleges jelszó jelentősen megnehezítheti a támadók dolgát.
Forrás: biztonsagportal.hu
Kép forrása: itcafe.hu