Mozilla 旗下有兩大軟體,分別是瀏覽器 Firefox 以及郵件軟體 Thunderbird,堪稱 Mozilla 的兩大支柱。不過,最近有開發者發現,這兩個軟體都有一個嚴重的漏洞,將導致使用者的密碼可能在一分鐘之內就被破解掉。而且,這個漏洞在 9 年前就已經被發現,但至今 Mozilla 都沒有打算解決。

 

 

這個漏洞的原因在於,Firefox 以及 Thunderbird 都可以讓使用者透過設定,在瀏覽器隱私權的設定中設定一個「主控密碼」。這個主密碼的功用相當於一個密鑰,可以用來加密保護使用者儲存在瀏覽器或是郵件客戶端的每個字串。

這個設計是好的,可以加強提高使用者的安全性。不過,AdBlock Plus 擴充套件的作者 Wladimir Palant,最近卻發現這個主控密碼有一個大問題。

他表示,他最近在檢視 sftkdb_passwordToKey() 這個函式的原始碼,這個函式是用來將使用者輸入的密碼轉換成加密金鑰的函式,但是他在檢視的時候發現,這個函式用來加密的方法是 SHA1 加密雜湊演算法。但是他發現這個函式中用到的疊代次數僅為 1,而一般業界認為這個疊代次數應該要為一萬才是安全的,比如說一樣用到 SHA1 來保護用戶密碼的 LastPass 密碼管理器,他們用到的疊代次數就為 10 萬次。因此,可以說 Firefox、Thunderbird 的主控密碼的安全值是非常低的。

在這種情況下,攻擊者可以用暴力破解法來攻破密鑰,然後就可以解密存放在 Firefox 或是 Thunderbird 中的密碼。而且,依照現在 GPU 顯卡的性能,攻擊者大約在不到一分鐘以內的時間,就可以暴力破解大多數的密碼。

另外一位名叫 Justin Dolske 的開發者也表示,他早在 9 年前就發現了這個問題,當時 Mozilla 的主控密碼功能才剛上線,他也透過官方的漏洞追蹤系統上報這個問題。不過,他沒有想到的是,Mozilla 這麼多年來都沒有處理這個問題。

Mozilla 針對此事的官方回應是,他們將在 Firefox 未來將新推出的密碼管理套件 Lockbox 中解決這個問題。而在這之前,雖然有這個漏洞,使用主控密碼依然是要比不使用安全的多,有專家建議,如果你真的擔心的話,將主控密碼設定為長而且複雜的主控密碼,將可以增加暴力攻擊的難度,可以暫時解決這個問題。

(本文由 T客邦 授權轉載;首圖來源:shutterstock)

 
關鍵字:  ,  ,  ,  ,  , 
資料來源:科技新報
https://technews.tw/2018/03/29/firefox-master-password-system-has-been-poorly-secured-for-the-past-9-years/
創作者介紹
創作者 康和期貨 羅耀舜~ 的頭像
康和期貨 羅耀舜~

康和期貨 羅耀舜 @期貨選擇權手續費、國外期貨手續費

康和期貨 羅耀舜~ 發表在 痞客邦 留言(0) 人氣()