Het master password dat Firefox en Thunderbird gebruiken om opgeslagen wachtwoorden te beveiligen is eenvoudig te kraken, zo stelt Wladimir Palant, ontwikkelaar van de populaire adblocker Adblock Plus. Zowel Firefox als Thunderbird beschikken over een ingebouwde wachtwoordmanager.
De wachtwoordmananger slaat wachtwoorden van de gebruiker op, zodat hij die niet meer op websites of bij het inloggen op het e-mailaccount hoeft in te voeren. Om de opgeslagen wachtwoorden te beveiligen kan er een master password worden ingesteld. Dit master password moet worden ingegeven voordat de opgeslagen wachtwoorden zijn te gebruiken.
Palant keek naar de broncode van de wachtwoordmanager en ontdekte dat de betreffende functie het wachtwoord naar een encryptiesleutel omzet door een sha-1-hash te maken van een random salt en het master password. Met een snelle videokaart is het echter mogelijk om een groot aantal sha-1-hashes te berekenen. Volgens Palant kan een Nvidia GTX 1080 videokaart 8,5 miljard sha-1-hashes per seconde berekenen. "En mensen staan erom bekend dat ze zeer slecht zijn in het kiezen van sterke wachtwoorden", aldus de Adblock Plus-ontwikkelaar. Gemiddeld zou het volgend Palant een minuut duren om een master password te kraken.
Het feit dat het master password eenvoudig via een brute force-aanval is te kraken is echter al meer dan 9 jaar bekend, zo blijkt uit een melding op Bugzilla, het systeem waarmee Mozilla bugs in Firefox en Thunderbird bijhoudt. Naar aanleiding van de blogpost van Palant lijken de ontwikkelaars van Mozilla nu naar sterkere algoritmes te kijken om het master password tegen bruteforce-aanvallen te beschermen.
Deze posting is gelocked. Reageren is niet meer mogelijk.