Thunderbird를 강력한 비밀번호 관리자에 연결하는 방법은 무엇입니까?

Thunderbird를 강력한 비밀번호 관리자에 연결하는 방법은 무엇입니까?

Mozilla Thunderbird 이메일 프로그램에 통합된 비밀번호 관리자는 1970년대 암호화(3DES)를 사용하여 마스터 비밀번호와 함께 비밀번호를 저장하는 등 다소 오래된 것으로 보이며, 변경되었음에도 불구하고 속도가 매우 느립니다(버그 524403, 보안 수정/개선에 10년 걸렸음,버그 973759, 공개).

플러그인을 사용하지 않고 외부(로컬, GNU/Linux, 오픈 소스) 비밀번호 관리자를 연결할 수 있는 방법이 있습니까?

이상적으로 이것은 잘 알려진 것입니다.KeePassXC.

편집: 나의 주요 위협 모델은 실행 중인 프로그램(한두 가지 버그가 있는 웹 브라우저와 유사)이 비밀번호 저장 파일을 읽고 훔치는 것입니다. 이는 약한 암호화로 인해 취약합니다. 내 시스템에는 전체 디스크 암호화(FDE)가 있으므로 종료 시 문제가 되지 않습니다. 내 웹 브라우저가 실제로 파일에 액세스할 수 없습니다(브라우저 주변에 다음과 같은 것을 사용하는 컨테이너가 있습니다).화재 감옥또는), 그러나 확인되지 않고 "통제되지 않은" 상태로 실행되는 다른 프로그램도 수십 개 있습니다.

답변1

물론, 특히 Thunderbird 자체를 다시 컴파일하려는 경우에는 이렇게 할 수 있습니다. 하지만, 꼭 물어봐야 해요귀하의 위협 모델은 무엇입니까?다른 비밀번호 관리자를 사용하여 무엇을 방지하려고 합니까?

요약하자면: Mozilla Thunderbird는 메일 받기(아마도 하고 싶은 일)와 같은 작업을 수행할 수 있도록 많은 비밀(이메일 서버 비밀번호 등)을 저장합니다. 이 비밀은 다음을 통해 얻을 수 있습니다.마스터 비밀번호.

이것이 없으면 시스템에 액세스하는 공격자(Thunderbird가 실행되지 않을 때)는 다운로드/캐시된 메일의 복사본을 얻거나 트로이 목마를 설치할 수 있지만, 마스터 비밀번호를 사용하고 마스터 비밀번호가 충분히 강력하다고 가정하면 액세스를 위해 검색할 수 없습니다. 메일 서버 비밀.

당신은 상점이 최고의 암호가 아닌 3DES를 사용하고 있다고 제안했습니다. 나는 당신에게 동의합니다. 그러나 반복 횟수를 늘리는 것이 더 나을지라도(3DES를 사용하는 것과는 다른 문제임) 여기에서 사용되는 것(2020년 기준)에는 3DES가 ​​여전히 충분히 안전하다고 생각합니다.

당신이 요구하는 것에 관해서는, 당신이 요구하는 것을 수행한다고 주장하는 몇 가지 Thunderbird 확장 기능이 있습니다:

하지만 추가 기능을 사용하고 싶지는 않습니다. 또 다른 방법(실제로 Thunderbird와의 통합이 필요하지 않음)은 비밀번호 저장소(key4.db, cert9.db...)를 보유하는 파일을 암호화된 위치(별도의 luks 파티션, encfs 설치...)로 이동하는 것입니다. . 심볼릭 링크를 사용하여 해당 위치를 가리키거나 전체 Thunderbird 구성 파일을 직접 암호화하여 로컬 파일도 보호하는 것이 더 좋습니다.

그러나 전체 디스크는 이미 암호화되어 있어야 합니다(머신이 항상 물리적 공격이 문제가 되지 않는 안전한 위치에 있지 않는 한). 그러면 Thunderbird Secrets에 대해 별도의 암호화 계층을 설치하는 이유는 무엇입니까?

즉,

  • 공격자가 노트북이나 하드 드라이브를 훔치는 것이 위협이라면 디스크를 암호화하면 이를 완전히 방지할 수 있으며 Thunderbird 마스터 비밀번호가 필요하지 않습니다.
  • 위협이 공격자가 시스템이 실행되는 동안 시스템에 접근하는 것인 경우(예: 컴퓨터를 방치하는 경우)그리고Thunderbird가 열려 있는 경우 매장을 변경해도 도움이 되지 않습니다. 많은 사람들이 로그인할 때 메일 클라이언트를 열고 거의 항상 열어 두는 경향이 있다고 생각합니다(닫고 열 때 다른 비밀번호를 제공해야 하는 경우 강화됩니다). 다양한 방법으로 방어해야 합니다(예: 스테이션을 떠나기 전에 스테이션을 잠그고 화면 보호기를 시작하기 전에 짧은 시간 초과 설정).
  • 이는 공격자가 실행 중인 시스템에 액세스하는 위협인 경우에만 중요합니다.열려 있는 이메일 클라이언트가 없습니다., 이 경우 위에서 언급한 것처럼 여전히 몇 가지 악의적인 동작을 수행할 수 있습니다(세션을 잠그면 이러한 동작을 모두 방지할 수 있습니다).

따라서 Thunderbird 비밀번호 저장소가 3DES를 사용한다는 사실이 실제로 눈에 띄는 방식으로 보안을 저하시키지는 않을 것이라고 생각합니다.

관련 정보