Si uses Firefox i guardes les teves contrasenyes en el navegador potser coneguis la funció de contrasenya mestra que ofereix el navegador de Mozilla, una que serveix per protegir tots els passwords que emmagatzemes en el navegador d’ulls no desitjats.
Doncs resulta que per una dècada Mozilla ha estat usant un sistema de xifrat pràcticament inútil actualment per a la seva característica de contrasenya mestra. Un que pot ser trencat en un minut usant força bruta.
Molts no recomanen usar els gestors de contrasenya del navegador precisament perquè si l’usuari no usa la contrasenya mestra per protegir totes les credencials que emmagatzema en ell, aquestes es trobaran en text pla, bastant vulnerables no solament a un atacant o curiós amb accés físic a l’ordinador de la víctima, sinó a atacs de malware.
La contrasenya mestra en canvi se suposa que xifra les contrasenyes emmagatzemades i les protegeix d’això. Però en el cas de Firefox (i Thunderbird) el xifrat usat és una iteració de SHA-1 tan feble que usant un atac de força bruta pot ser trencat en un moment.
SHA-1 és un algorisme de xifrat que ja ha estat demostrat pot trencar-se amb atacs de força bruta. Segons Wladimir Palant, qui va descobrir el problema, l’esquema de xifrat que usa la funció de contrasenya mestra de Firefox té un recompte d’iteració d’1, la qual cosa vol dir que s’aplica una sola vegada, mentre la indústria recomana un mínim de 10.000 vegades, i gestors de contrasenya com LastPass usen valors de 100.000.
Palant, famós per ser l’autor de AdBlock Plus, no és el primer a notar la vulnerabilitat en Firefox. En una entrada en el rastrejador de bugs de Mozilla ja existeix un reporti del mateix problema fa nou anys, poc després que es llancés la funció de contrasenya mestra.
En tot aquest temps Mozilla sembla no haver tingut interès a abordar aquest problema, en canvi diuen que el llançament de Lockbox, el nou gestor de contrasenyes que tindrà Firefox, encara sense data exacta de llançament, serà la solució al problema. Mentrestant, la recomanació seria no guardar les contrasenyes en el navegador, un gestor de contrasenyes independent és millor opció, encara que tampoc són infalibles.
Notícia original Genbeta.com | “Firefox lleva 9 años “protegiendo” tus contraseñas con un cifrado que puede romperse en un minuto”
