В менеджере паролей Firefox нашли давнюю уязвимость

Создатель расширения AdBlock Plus Владимир Палант нашел проблему, что браузер Firefox проводит плохую шифровку сохраненных паролей. Чтобы защитить пользовательские данные, будет использована система мастер-пароля, которая применяет хеширование SHA-1.

При рекомендуемом значении в 10 000, его счетчик цикла равняется «1». К примеру, в менеджере паролей LastPass использован алгоритм со значением 100 000. Малое число циклов серьезно облегчает для хакеров возможность подбора мастер-пароля, вместе с расшифровкой сохраненной информации. Разработчик напоминает, что сегодняшние видеокарты могут справиться с задачей в течение считанных минут. Он добавил, что наилучшей заменой алгоритму SHA-1 — может быть Argon2. Владимир Палант — уже не первый программист, кто нашел уязвимость.

Более 9 лет назад об этой же проблеме сообщал эксперт Джастин Долске. Но даже и после этого, Mozilla ничего не делала для усиления защиты. Но после выводов Паланта, в начале этого месяца Mozilla обнародовала релиз обновленного компонента менеджера паролей — Lockbox. Пока он остается стадии разработки и может быть доступным исключительно как расширение.

Это в комментариях к отчету Паланта, сообщил инженер по безопасности Mozilla Кристиан Холлер. Сам алгоритм SHA-1 остается в браузере даже после анонсирования Mozilla прекращения поддержки сайтов с таким типом шифрования. Начавшая свою работу в 1995 году хеш-функция считается очень устаревшей — в феврале прошлого года Google показала метод создания коллизии.

Комментировать

Расскажите, а что вы думаете об этом?

Отправить