Adott a korábbról ismert emberünk miközben rohanó életünk kis morzsájával, a lassan már idegen szavak szótárában sem létező „pihenés” dolgot műveli gépe előtt. Úgy dönt, megnézi mit is tud az Avast mostanság, mert ezt az utóbbi években elmulasztotta és szívesen mosolyog az újraindítások egyik kedvenc pontján, ami a gép jövőszázadban való újraindításáig húzza el az Avast újra betöltődését. Meg is nyitja emberünk az Avast-ot és futtat egy Okos vizsgálatot, majd néhány perc elteltével kap egy figyelmeztetés a jelszavaival kapcsolatban. Hírtelen elkezdenek cikázni emberünk fejében a gondolatok, hogy melyik/milyen jelszó az, ami ennyire gyenge, kisvártatva továbbmegy és felrakja a probléma megoldását szorgalmazó ingyenes Avast jelszó manager programot. Persze mielőtt beimportálhatná ezeket a jelszavakat ebbe a programba, megnézi, hogy mi is érintett, mert ennyire okos az Avast, hogy kinyeri a Facebook felhasználójának jelszavát, egy másik weboldalon tárolt felhasználójának jelszavát és még a Skype felhasználójának jelszavát is rámutatván arra, hogy gyengék.
A gond a fenti dologgal, hogy ez, így ahogy van, létezik, ugyanis Firefox böngésző a logins.json-ban tárolja azon oldalak felhasználóneveit és jelszavait, amelyeket mi megjegyeztettünk vele a mi kényelmünk érdekében. Ez a fájl tárolja azokat a weblapokat is ahol nem szeretnénk, hogy megjegyezze a fenti kombinációt. A fájl nem titkosított, de a felhasználó név és a hozzá tartozó jelszó titkosított kódhalmazként szerepel benne melyet felhasználva a keydb3.db-ből ki lehet nyerni a felhasználónevet és a jelszót. Erre nagyon jó program a NirSoft PasswordFox. Nos, ezt teszi az Avast is, kinyeri belőle a felhasználó nevünket és a jelszavunkat és megnézi a jelszó bonyolultságát, majd ha alacsony, akkor azt kiírja nekünk a felhasználó névvel együtt a képernyőre, mint ahogy azt emberünknél is megtette. Mondanom sem kell, ha erre képes a NirSoft meg az Avast, akkor bárki képes, még egy malware is ami jól ellopkodja minden adatunkat. Ha mi csak a gépünk helyreállításával foglalkoztunk, de a Firefoxban tárolt jelszavakat nem változtattuk meg akkor baj van. Az utóbbira ilyen esetben akkor nincs szükség, ha mester jelszót (Master Password)-ot állítunk be a profilunkhoz, ilyen esetben a felhasználónév/jelszó mentése előtt meg kell adni a mester jelszót, így csak ennek tudatában lehet kiolvasni/hozzáadni a szenzitív adatokat. Azért tegyük hozzá, hogy az Avast cég elég szépen összeszedhetett jelentős mennyiségű felhasználónév/jelszó párost az idő folyamán, amivel a jó ég sem tudja, mit kezd/fog kezdeni.
Az, hogy a Skype jelszó gyengeséget hogyan olvasta ki az Avast, egyenlőre számomra jó kérdés, bár nagyon úgy néz ki, hogy a config.xml-ben tárolt jelszavat visszafejti. Kérdés még, hogy mit tud visszafejteni, küld-e adatokat az anyacégnek a vírusirtó és milyen gyakorisággal teszi ezt. További kérdés, hogy még mit tesz a gépünkkel ez a magas színvonalú, vezető antivírus programot gyártó cég a fizetős és ingyenes szegmensben.
