Насколько стойки пароли в Thunderbird? Интересует два аспекта:
1. Стойкость мастер-пароля на пароли
2. Стойкость пароля на software securety device (используется для хранения личных s/mime сертификатов)
Эти пароли можно подбирать только перебором (т.е. надежность определяется длиной пароля), , или есть "закладки", чтоб их можно было поменять/снять?
Насколько безопасно надеяться на эти пароли, если к компьютеру имеется локальный доступ?
Отсутствует
Уже обсуждалось. Воспользуйтесь, пожалуйста, поиском.
Project Rosenfox: Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.
Отсутствует
Уже обсуждалось. Воспользуйтесь, пожалуйста, поиском.
Про криптостойкость обсуждений Я не нашел. Есть как ставить пароль и как сбрасывать (с потерей информации). Но, это к надежности использования паролей отношения не имеет. Если Я что-то пропустил, то, если Вам не составит труда, пожалуйста, киньте ссылку на тему или ключевые слова для поиска.
Отсутствует
... Я нашел еще лучше - ссылочку на достойный форум по крипто...
Общий смысл (цитирую):
ВОПРОС: В известном, почтовом клиенте Thunderbird есть функция "Мастер Пароль".
Читал в одном месте, что в качестве шифрования используется 3DES, но это не точно..Как Вы думаете, достаточно ли это безопасный способ для хранения паролей или лучше каждый раз вводить в ручную?
3DES – это самый проверенный из всех ныне существующих симметричных алгоритмов. Куда интереснее, насколько корректно он реализован и насколько безопасна среда исполнения
Для всех криптоопераций в мозилловских продуктах применяется библиотека NSS. В плане реализации она вроде в порядке.
3DES надёжен, реализующая его криптобиблиотека тоже. Вопрос в том, надёжно ли приложение, использующее всё это хозяйство, т.е. сам Seamonkey/Firefox/Thunderbird. Не забывайте — уязвимость в программе теоретически может позволить злоумышленнику как прочитать пароли из зашифрованного хранилища (при условии кэшированного мастер-ключа), так и "тупо" установить Вам трояна, который просто перехватит все интересующие данные.
... использовать хранилище браузера/мэйл-клиента для критических паролей вряд ли разумно. Но это и не значит, что такое обязательно вредно. Определённый ответ на этот вопрос требует учёта слишком большого множества факторов. Ради примера скажу, что у меня в Thunderbird пароли к ящикам хранятся в хранилище программы, при этом шифрование вовсе отключено. Однако, для обычной Windows-машины я бы подобную практику не рекомендовал.
Алгоритм может быть оценён с разных позиций: скорость, степень его иследованности, общая предполагаемая устойчивость к криптоатакам (включая те, что будут, возможно организованы в будущем) и т.д. Как правило в серьёзных продуктах используется один из следующих трёх алгоритмов: AES, Blowfish и Twofish. При прочих равных лучше ориентироваться на них... 3DES в списке нет, это не означает что он "взломан", но означает что при прочих равных есть алгоритмы куда лучше по совокупности своих характеристик
См.:
http://kb.mozillazine.org/Master_password
http://en.wikipedia.org/wiki/Network_Security_Services
http://www.pgpru.com/forum/kriptografij … hunderbird
http://ru.wikipedia.org/wiki/Triple_DES
http://ru.wikipedia.org/wiki/Advanced_E … n_Standard
http://ru.wikipedia.org/wiki/Blowfish
http://ru.wikipedia.org/wiki/Twofish
Отредактировано Rosenfeld (01-07-2009 09:53:09)
Project Rosenfox: Pure, fast and secure inner settings for Mozilla Firefox. Global and complete manual on GitHub.
Отсутствует