開發者驚訝:火狐瀏覽器「主控密碼」保護機制安全性太弱,卻就這麼用了九年

開發者驚訝:火狐瀏覽器「主控密碼」保護機制安全性太弱,卻就這麼用了九年

Mozilla旗下有兩大軟體,分別是瀏覽器Firefox以及郵件軟體Thunderbird,堪稱Mozilla的兩大支柱。不過,最近有開發者發現,這兩個軟體都有一個嚴重的漏洞,將導致使用者的密碼可能在一分鐘之內就被破解掉。而且,這個漏洞在九年前就已經被發現,卻至今Mozilla都沒有打算解決。

這個漏洞的原因在於,Firefox以及Thunderbird都可以讓使用者透過設定,在瀏覽器隱私權的設定中設定一個「主控密碼」。這個主密碼的功用相當於一個密鑰,可以用來加密保護使用者儲存在瀏覽器或是郵件客戶端的每個字串。

 開發者驚訝:火狐瀏覽器「主控密碼」保護機制安全性太弱,卻就這麼用了九年

這個設計是好的,可以加強提高使用者的安全性。不過,AdBlock Plus 擴充套件的作者 Wladimir Palant,最近卻發現這個主控密碼有一個大問題。

他表示,他最近在檢視sftkdb_passwordToKey() 這個函式的原始碼,這個函式是用來將使用者輸入的密碼轉換成加密金鑰的函式,但是他在檢視的時候發現,這個函式用來加密的方法是SHA1加密雜湊演算法。但是他發現這個函式中用到的疊代次數僅為1,而一般業界認為這個疊代次數應該要為一萬才是安全的,比如說一樣用到SHA1來保護用戶密碼的 LastPass 密碼管理器,他們用到的疊代次數就為10萬次。因此,可以說Firefox、Thunderbird的主控密碼的安全值是非常低的。

在這種情況下,攻擊者可以用暴力破解法來攻破密鑰,然後就可以解密存放在Firefox或是Thunderbird 中的密碼。而且,依照現在GPU顯卡的性能,攻擊者大約在不到一分鐘以內的時間,就可以暴力破解大多數的密碼。

另外一位名叫 Justin Dolske 的開發者也表示,他早在 9年前就發現了這個問題,當時 Mozilla 的主控密碼功能才剛剛上線,他也透過官方的漏洞追蹤系統上報這個問題。不過,他沒有想到的是, Mozilla 這麼多年來都沒有處理過這個問題。

開發者驚訝:火狐瀏覽器「主控密碼」保護機制安全性太弱,卻就這麼用了九年

Mozilla 針對此事的官方回應是,他們將在Firefox未來將新推出的密碼管理套件 Lockbox 中解決這個問題。而在這之前,雖然有這個漏洞,使用主控密碼依然是要比不使用安全的多,有專家建議,如果你真的擔心的話,將主控密碼設定為長而且複雜的主控密碼,將可以增加暴力攻擊的難度,可以暫時解決這個問題。

 

一位安全研究人员发现,过去九年来,火狐浏览器一直在用过时的方案保护用户的密码。只需要1分钟,现在的GPU就可以攻破该保护方案。

開發者驚訝:火狐瀏覽器「主控密碼」保護機制安全性太弱,卻就這麼用了九年

据称,Mozilla旗下的火狐浏览器和Thunderbird邮件客户端会让用户设置一个主密码,以提高用户数据的安全性。但是该密码一直使用SHA1加密,极易遭到破解。

IT之家获悉,有意思的是,早在9年前,这一漏洞就被开发者发现并提出。但是该漏洞一直未得到解决。

“我查看了源代码,发现了sftkdb_passwordToKey()函数。它应用了SHA-1哈希加密算法,将用户的真实密码加随机盐组成的字符串加密,形成密钥。”这名开发者表示,“任何在网页上设计过登录功能的人,都会意识到其中的危险。”

为了更好地说明该问题,这名开发者还翻出了他九年前的错误报告。对此,Mozilla表示,他们不久就将推出新的密码管理器Lockbox,届时该问题将得到解决。Mozilla告诉用户,他们可以通过设置更长、更复杂的主密码,以提高安全性。

janus
作者

PC home雜誌、T客邦產業編輯,曾為多家科技雜誌撰寫專題文章,主要負責作業系統、軟體、電商、資安、A以及大數據、IT領域的取材以及報導,以及軟體相關教學報導。

使用 Facebook 留言
發表回應
謹慎發言,尊重彼此。按此展開留言規則