[HaBo]

rotte

Anzeige

Hi.
Wie ihr vielleicht alle wisst, kann Firefox passwörter und Login Daten speichern und diese auch anzeigen. (Extras-->Einstellungen-->Sicherheit-->Passwörter anzeigen...)
Ich habe die Datei in den Anwendungsdaten gefunden, in welcher diese Login Daten gespeichert werden.
Leider sind diese verschlüsselt.
Hier ein Beispiel: MDIEEPgAAAAAAAAAAAAAAAAAAAEwFAYIKoZIhvcNAwcECO7RsJ hQkkvJBAjeHYlKactKyg==

Weiß jemand um welche Art der Verschlüsselung es sich hier handelt?
Würde mich sehr über eine schnelle Antwort freuen.

mfg. rotte

Heinzelotto

Die zeichenkette, die du da geposted hast, sieht nach base64 aus. Decodiert ergibt sich da aber auch nur ziemlicher müll, wahrscheinlich wurde das eigentliche Passwort vorher nochmal mit z.B. dem Firefox-Profilnamen als Schlüssel verschüsselt. Den Algorithmus kann ich dir aber nicht sagen.

Elderan

Hallo,
lad dir den Firefox Code runter such entsprechend danach. Sollte gar nicht so schwer sein, den obfuscation Algorithmus in Filezilla Client findet man z.B. sehr schnell.

Harry Boeck

OK, fangen wir mal an...

Du solltest zuerst Verständnis für die Dinger namens "Dateien" und "Verzeichnisse" entwickeln. Es geht nämlich darum, das in VERSCHIEDENEN Dateien und VERSCHIEDENEN Verzeichnissen verschiedene Dinge gespeichert werden.

Wenn Du also IRGENDWAS IRGENDWO findest, solltest Du Dir beim Fragen danach angewöhnen, die Dateien bzw. Verzeichnisse zu BENENNEN, nach denen Du fragst.

Im konkreten Fall geht es wohl um die Datei "signons2.txt" im Firefox-Verzeichnis. Richtig?

In der sind Passwörter mit Hashalgorithmen verschlüsselt gespeichert. Nachdem sie mit einem kontenspezifischen "Salt" angereichert wurden. Kontenspezifisch für das Firefox-Konto, nicht das Windows-Konto. Und - wenn ich das noch recht in Erinnerung habe - in der Datei "kf.txt" enthalten (wobei ich mich da aber auch irren kann - ist halt schon eine Weile her, daß mich das Thema mal interessiert hatte).

Die konkret verwendeten Algorithmen findest Du, wie Elderan schreibt, im OpenSource-Code des Firefox. Einfach nach dem suchen, was Dir soweit bekannt ist. Hier: nach den Namen der Dateien.

Elderan

Hallo,
Zweifel daran dass ein Hash-Algo. verwendet wird, da die Passwörter als Klartext benötigt werden, damit man diese entsprechend in die Formulare eintragen kann.
Einwegfunktionen sind da reichlich unpraktisch.

Meistens sind diese Algorithmen sehr einfach gestrickt, da eine aufwendiger Algo. keinen Sinn macht.
Bei Filezilla (FTP Client) wird einfach nur ne polyalphabetische Substitution vorgenommen mit einem festen Key (FILEZILLA123...)
Ein aufwendiger Algorithmus macht in einem OpenSource Projekt keinen Sinn, jeder kann sich den Code runterladen und mit dem richtigen Suchbegriff findet man die Routine in wenigen Minuten.

Harry Boeck

Also, in "nsPasswordManager.cpp" steht der Aufbau der "signons2.txt" und die allgemeine Behandlung der Einträge. Die Funktion "EncryptString", mit der letztlich das Zeug behandelt wird, steht in "nsSDR.cpp", die letztlich zu "PK11SDR_Encrypt" in "pk11sdr.c" weiterführt, wo hervorgeht, daß es sich um "DES3" handelt.

Gebe ich geschlagen.
Irgendwas muß ich da falsch in Erinnerung gehabt haben.

t3rr0r.bYt3

Und in Kombination mit einem vom User gewählten Master-Passwort? Ist natürlich wieder unhandlicher, aber vielleicht eine alternative zu PasswordMaker z.b., bei denen man die Passwörter gar nicht mehr kennt (und so auf die Software angewiesen ist).

Elderan

Hallo,
Ich denke mal schon (bzw. hoffe), dass ein sicherer Algorithmus verwendet wird, sofern ein Master Passwort im Einsatz ist.

Aber um Mißverständnisse vorzubeugen: Komplizierter Algorithmus != sicherer Algorithmus.

Klar, eine Bitslice Serpent Implementierung ist kompliziert und auch sicher, aber eine XTEA Implementierung ist sicher und unkompliziert.

rotte

Danke für die Antworten.
Werd' mir mal den Firefox src-code angucken.
Vielleicht finde ich da Infos zum Verschlüsselungsalgorithmus (falls es überhaupt einer ist).

Harry Boeck

Sagt mal, Jungs, lest Ihr auch Antworten?
-> DES3

Heinzelotto

nichts persönliches, aber da du so häufig Wörter GROSS SCHREIBST, gibt mir das den Eindruck, als würdest du schreien. Deshalb finde ich es manchmal unangenehm, das zu lesen (wohlgemerkt, "ich finde", ist also meine persönliche subjektive Meinung).

du hast in deinem ersten Post gesagt, dass die passwörter gehasht werden. Dann hast du aber DES3 erwähnt, was ja kein hash-algorithmus ist. Deshalb habe ich die Information wohl unterbewusst verworfen.

Harry Boeck

Soweit ich das aus damaligen Experimenten (vor etwa 20 Monaten) in Erinnerung habe, wird mit einem Salt gearbeitet, so daß man nach Neuanlegen eines Kontos und Setzen desselben Master-Passwortes nicht einfach eine alte "signons.txt" wieder in Benutzung nehmen kann. Wobei ich das an meinem Arbeitsplatz natürlich nicht durchspielen will, ohne zwingende Gründe zu haben...

Insgesamt kam ich damals zum Schluß, daß meine offengelegten Passworte doch auf eine eigene Schlamperei zurückzuführen waren, während die Passwortverwaltung vom Firefox doch recht dicht aussieht.