image

"Master password Firefox en Thunderbird eenvoudig te kraken"

maandag 19 maart 2018, 10:35 door Redactie, 19 reacties

Het master password dat Firefox en Thunderbird gebruiken om opgeslagen wachtwoorden te beveiligen is eenvoudig te kraken, zo stelt Wladimir Palant, ontwikkelaar van de populaire adblocker Adblock Plus. Zowel Firefox als Thunderbird beschikken over een ingebouwde wachtwoordmanager.

De wachtwoordmananger slaat wachtwoorden van de gebruiker op, zodat hij die niet meer op websites of bij het inloggen op het e-mailaccount hoeft in te voeren. Om de opgeslagen wachtwoorden te beveiligen kan er een master password worden ingesteld. Dit master password moet worden ingegeven voordat de opgeslagen wachtwoorden zijn te gebruiken.

Palant keek naar de broncode van de wachtwoordmanager en ontdekte dat de betreffende functie het wachtwoord naar een encryptiesleutel omzet door een sha-1-hash te maken van een random salt en het master password. Met een snelle videokaart is het echter mogelijk om een groot aantal sha-1-hashes te berekenen. Volgens Palant kan een Nvidia GTX 1080 videokaart 8,5 miljard sha-1-hashes per seconde berekenen. "En mensen staan erom bekend dat ze zeer slecht zijn in het kiezen van sterke wachtwoorden", aldus de Adblock Plus-ontwikkelaar. Gemiddeld zou het volgend Palant een minuut duren om een master password te kraken.

Het feit dat het master password eenvoudig via een brute force-aanval is te kraken is echter al meer dan 9 jaar bekend, zo blijkt uit een melding op Bugzilla, het systeem waarmee Mozilla bugs in Firefox en Thunderbird bijhoudt. Naar aanleiding van de blogpost van Palant lijken de ontwikkelaars van Mozilla nu naar sterkere algoritmes te kijken om het master password tegen bruteforce-aanvallen te beschermen.

Reacties (19)
19-03-2018, 10:48 door Anoniem
Vraag me af hoeveel procent een master password gebruikt ? zou niet eens weten hoe je dat in moet stellen.
19-03-2018, 10:57 door Anoniem
Waarom zou je je browser passwords willen laten bewaren?
19-03-2018, 11:10 door Anoniem
Benieuwd hoe de wachtwoorden in IE, Edge en chrome opgeslagen worden.
19-03-2018, 11:42 door Anoniem
Time is your friend. Gezien hoe belangrijk dit master wachtwoord daadwerkelijk is, lijkt het me voor de hand liggend om hashing algoritmes te gebruiken die tijd kosten om een hash te berekenen (zoals bcrypt). Hoeveel kan dat schelen?

Volgens het artikel kan de GTX1080 in 1 seconde 8,5 miljard SHA-1 kan berekenen. Bij een algoritme dat bijvoorbeeld 0,1 seconden nodig heeft om één hash te berekenen, om dezelfde hoeveelheid hashes te berekenen heb je 2695 jaar nodig.

En toch is 0,1 seconden wachten schappelijk bij het binnenkomen van de wachtwoordmanager.
19-03-2018, 11:59 door Anoniem
Door Anoniem: Waarom zou je je browser passwords willen laten bewaren?

Jackpot, u hebt het helemaal goed.
19-03-2018, 12:08 door Anoniem
Door Anoniem: Benieuwd hoe de wachtwoorden in IE, Edge en chrome opgeslagen worden.

plain text ;-)
19-03-2018, 12:23 door Anoniem
Toch wel weer verontrustend nieuws.
Goed dat die man dit aankaart.

Ik denk zelf dat ik een erg goed idee heb voor extreem zekere passwords.
Alleen denk ik dat dit idee (zoals het nu is) niet toe te passen is.

Ik zou hier graag met iemand of met een bedrijf over willen communiceren.
Maar ik ga zoiets experimenteels niet per mail of telefoon bespreken.
Face to face, of; tete a tete, en anders dan maar niet.
Ik wil er met de auto gerust een eind voor gaan rijden.

Iemand ideeen/suggesties/opties/meningen?

Een natuur liefhebber.
19-03-2018, 12:34 door Anoniem
Ach... degene die wachtwoorden als standaard laat bewaren hebben geen verstand van computers, zijn op digitaal gebied leek of heel erg lui. Voor die mensen is het niet erg dat dit een zwak punt is, zij hebben waarschijnlijk 'niets te verbergen'
19-03-2018, 13:48 door Anoniem
Door Anoniem: Waarom zou je je browser passwords willen laten bewaren?
Helemaal mee eens. Niet !!
Of je moet lui en gemakkelijk uitgevallen zijn en je hebt niets te verbergen ;-)
19-03-2018, 14:31 door Anoniem
''Het feit dat het master password eenvoudig via een brute force-aanval is te kraken is echter al meer dan 9 jaar bekend, zo blijkt uit een melding op Bugzilla, het systeem waarmee Mozilla bugs in Firefox en Thunderbird bijhoudt. Naar aanleiding van de blogpost van Palant lijken de ontwikkelaars van Mozilla nu naar sterkere algoritmes te kijken om het master password tegen bruteforce-aanvallen te beschermen.''

Waarom nu pas? Terwijl het al 9 jaar bekend was....
19-03-2018, 16:16 door Briolet
Door Anoniem: Waarom zou je je browser passwords willen laten bewaren?

Omdat je zonder een vorm van een wachtwoord manager niet een stuk of honderd sterke wachtwoorden kunt onthouden.

Maar dan wel opgeslagen achter een hoofdwachtwoord zodat niet iedereen die even bij jouw computer kan komen, deze wachtwoorden kan opvragen.
19-03-2018, 18:29 door Anoniem
Door Briolet:
Door Anoniem: Waarom zou je je browser passwords willen laten bewaren?

Omdat je zonder een vorm van een wachtwoord manager niet een stuk of honderd sterke wachtwoorden kunt onthouden.

Maar dan wel opgeslagen achter een hoofdwachtwoord zodat niet iedereen die even bij jouw computer kan komen, deze wachtwoorden kan opvragen.
Daarom gebruik ik KeePass. Veel van m'n wachtwoorden zijn 30 random tekens, en ik hoef niets te onthouden behalve het hoofdwachtwoord. De database is netjes met SHA-256 versleuteld. En nix in de cloud.
19-03-2018, 18:35 door Anoniem
Door Anoniem:
Door Anoniem: Benieuwd hoe de wachtwoorden in IE, Edge en chrome opgeslagen worden.

plain text ;-)

yep, klopt, en dat is ook waarom alle richtlijnen adviseren om wachtwoorden *niet* op te slaan.
En om toch vooral, vooral, eindelijk eens MFA aan te zetten op de belangrijke accounts.

Als iemand nog niet overtuigd is, lees dit artikel eens over hoe zelfs sommige adtrackers misbruik maken van opgeslagen identiteiten in browsers: https://www.theverge.com/2017/12/30/16829804/browser-password-manager-adthink-princeton-research
19-03-2018, 19:35 door Anoniem
Daarom gebruik ik Bitwarden.
19-03-2018, 22:05 door Anoniem
(sarcastisch)

Niets aan de hand. Gewoon alles opslaan. Masterwachtwoorden zijn ook optioneel. Alles gewoon lekker in plain-text op disk, heerlijk makkelijk.
En vooral negeren als bedrijven aangeven dat sommige wachtwoorden minder handig zijn om op te slaan in de browser https://www.fxsitecompat.com/en-CA/docs/2014/form-autocomplete-off-no-longer-prevents-passwords-from-being-saved/ (wachtwoord managers die de gebruiker zelf kiest mogen dat toch natuurlijk wel netjes negeren)..

(niet sarcastisch)
Pak een behoorlijke - offline - wachtwoorden manager en voorkom een hoop problemen.

KeePass
Tja, maar die blijft wel echt voor IT-ers... eentje voor paps en mams moet ik nog vinden.
20-03-2018, 01:15 door Anoniem
Door Anoniem: Waarom zou je je browser passwords willen laten bewaren?
Omdat je je browser toch al vertrouwt correct met wachtwoorden om te gaan. Anders moet je geen wachtwoorden in (laten) vullen in je browser (ook niet door een extern programma).

Nog een extra programma naast je browser hiervoor moeten vertrouwen is een extra risico. Helemaal geen wachtwoordmanager gebruiken is ook een risico (voorspelbare of zelf gelijke wachtwoorden op meerdere sites, tenzij je die enkeling met extreem goed geheugen bent).

Los hiervan: salt + 1x SHA-1 is anno 2018 inderdaad onnodig zwak en schaadt wel degelijk het vertrouwen in Firefox m.b.t. omgang met wachtwoorden.
20-03-2018, 10:15 door Anoniem
Door Anoniem: Waarom zou je je browser passwords willen laten bewaren?

Ik bewaar daar juist de foutieve wachtwoorden. ;-)

De echte wachtwoorden zitten in een wachtwoordkluis. En nee, ik gebruik niet de daarbij beschikbare browser plugin.

Peter
20-03-2018, 11:38 door Anoniem
Door Anoniem: Daarom gebruik ik Bitwarden.
Bitwarden werkt ook wazig, die download je dan gaat ie wat installeren, maar tijdens het uitpak proces wil ie opnieuw contact met Github om een 7z bestand te downloaden of te contacten, en dan houdt het op omdat ie mijn exit node van mijn vpn niet vertrouwt. Kan iemand mij vertellen of dit normaal is.?
20-03-2018, 11:39 door Anoniem
Door Anoniem:
Door Anoniem: Waarom zou je je browser passwords willen laten bewaren?

Ik bewaar daar juist de foutieve wachtwoorden. ;-)

De echte wachtwoorden zitten in een wachtwoordkluis. En nee, ik gebruik niet de daarbij beschikbare browser plugin.

Peter
Yubikey...?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.