- 中文标题:关注Firefox与IE的密码管理
- 英文标题:Password Management Concerns with IE and Firefox
- 作 者:Mikhael Felker
- 翻 译:龙之冰点
- 原文地址:http://www.securityfocus.com/infocus/1882
- 更 新:2007年10月1日
1. 绪论
本文对两大浏览器(Internet Explorer 和 Firefox)的安全机制、威胁和攻击进行了分析,使用的版本为IE6/7和Firefox 1.5/2.0,主要讨论以下内容:
- 密码存储机制: 保存在本地文件系统上的用户名和密码的加密存储方式。
- 针对密码管理器的攻击: 突破安全设置的方法。
- 错误的安全意识:用户在不了解安全威胁的情况下使用密码管理器。
- 适用性: 影响适用性的安全功能。
- 缓解与对策: 用于减小安全威胁的措施。
Internet Explorer和Firefox一起占据了大约95%的浏览器市场。[注释 1] 自动完成[注释 2]和密码管理器[注释 3]分别是Internet Explorer (从版本4开始)和Firefox (从版本0.7开始)下存储表单用户名、密码和URL的工具。
每个浏览器都能帮助记忆不同的用户名和密码用于网站验证,因此当定位一个像http://www.gmail.com这样的URL时,如果存在表单填写,IE和Firefox都会提示用户是否保存它们的用户名和密码,当用户再次进入同一网页时就会自动填充表单。
虽然这些功能对用户而言非常简单实用,但我们还是需要了解这些功能带来的安全威胁。
2. 密码管理器举例
对密码管理器的需要源自于记忆众多网站用户名和密码的困难性,值得注意的是,密码管理器增加了整体的安全性,因为它们能记忆大量的标识符,用户可以使用许多不同的用户名和密码,而不是仅仅一两个,这使得攻击者猜出密码的几率大大减小了。
用户必须相信应用程序能完成它的任务(安全存储、处理并发送证书到授权机构)。不管他们怎样提升技术,改善计算环境用户界面,增加周期性验证需求并有效地阻止攻击者,密码管理器也不会是万能的。
用户和企业都需要确保密码管理系统被正确的配置和使用了,包括了解可能存在的威胁。可以通过本文检查潜在的攻击,加强防范,设计更安全的密码管理器。
3. 在开始之前
在不同的网站上使用相同的用户名和密码增加了被攻击的可能性,攻击者只需要得到一个用户名和密码,便能获取用户所有的资源。密码的使用、[注释 4] 存储技术、[注释 5, 注释 6] 和密码重用的危险性[注释 7] ,所以这些都会介绍到。另外,还将介绍使用Firefox扩展减小密码管理器被暴力破解的可能性。[注释 8]
4. 密码存储机制
下面将介绍用户名和密码的存储位置和存储机制,这些信息可作为学习攻击技术的基础。
4.1 存储位置
4.1.1 Internet Explorer 6 & 7
在Internet Explorer (版本4到6)上,自动完成网页表单信息存储在注册表的如下位置:
加密后的用户名和密码:
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\IntelliForms\SPW网页地址:
HKEY_LOCAL_MACHINE\Software\Microsoft\Protected Storage System Provider\
对应的密匙: [注释 9]
HKEY_CURRENT_USER\Software\Microsoft\ Protected
Storage System Provider\Data\在Internet Explorer 7上, 自动完成信息存储的位置有所不同。
加密后的用户名和密码: [注释 10]
HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\IntelliForms\Storage2这些注册表键值只在用户同意保存网页登录信息(用户名和密码)时创建,SPW是SavedPassWords的缩写。
4.1.2 Firefox 1.5 与 2.0
在Firefox上, 统一资源定位符(URLs)、用户名、密码都保存在一个叫做signons.txt的文件内:
Windows系统下加密后的用户名和密码存储在:
%userprofile%\Application Data\Mozilla\Firefox Profiles\xxxxxxxx.default\signons.txt%userprofile%是Windows下用户主目录的环境变量。
Linux系统下加密后的用户名和密码存储在如下位置:
~/.mozilla/firefox/
xxxxxxxx.default/signons.txtxxxxxxxx是Firefox安装时随机选择的,signons.txt文件在第一次保存登录信息时创建,之后不同的URL登录将插入此文件中。当站点访问使用HTTP或HTTPS时使用不同的密码管理器。URL并没有加密,因为它们被用于索引(查询)匹配的登录信息。当密码管理器需要为指定的网站自动填充登录信息时,这个站点的URL将在signons.txt文件中查询,如果该URL存在,对应的用户名和密码就会被填充到网站的登录框中。
第2页继续...
[注释 1] C, Galvin. "Firefox doubles market share as IE slips," 2005, The Register.co.uk, (Accessed February 2006).
[注释 2] MSDN "Using AutoComplete in HTML Forms," 2005, msdn.microsoft.com/library (Accessed March 2006)
[注释 3] http://www.mozilla.com/firefox/releases/0.7.html, (Accessed March 2006)
[注释 4] R. Morris and K. Thomson. "Password Security: A Case History," in Communications of ACM, vol.22 no.11, 1979, pp 594 - 597,.
[注释 5] A. Blackwell, A. Grant, R. Anderson, and J. Yan. "Password Memorability and Security: Emperical Results", IEEE Security & Privacy, 2004, pp 25-31
[注释 6] S. Jeyaraman and U. Topkara. "Have the cake and eat it too - Infusing usability into text-password based authentication systems," in Proceedings of the 21st Annual Computer Security Applications Conference, 2005, pp.473-482.
[注释 7] Ives, B., Walsh, K. R., Schneider, H. (2004). "The domino effect of password reuse," in Communications of the ACM, 47, 2004 pp. 75-78.
[注释 8] E. W. Felten, A. Halderman and B. Waters. "A convenient method for securely managing passwords," in Proceedings of the 14th international conference on World Wide Web Chiba, Japan, 2005.
[注释 9] NIST. Federal information processing standard (FIPS) 140-1 Documentation: Security Policy. Windows NT Operating System, Microsoft DSS/Diffie-Hellman Enhanced Cryptographic Provider, 1994.
[注释 10] "Passwords in Internet Explorer 7," http://www.nirsoft.net/articles/ie7_passwords.html (Accessed November 2006)