Entwickler: Firefox-Passwort-Manager seit Jahren unsicher
Dieser Artikel ist älter als ein Jahr!
Mozilla hat in seinem Browser Firefox und dem Mail-Client Thunderbird seit neun Jahren ein unsicheres Master-Passwort-System implementiert. Das wirft Wladimir Palant, Autor der AdBlock-Plus-Erweiterung, den Software-Entwicklern vor, wie BleepingComputer berichtet.
Das Master-Passwort dient bei Mozillas Programmen als Passphrase, mit dem jedes gespeicherte Passwort verschlüsselt wird. Ursprünglich lobten Sicherheitsforscher dieses Feature, da Passwörter in Browsern zuvor meist einfach im Klartext gespeichert wurden.
Brute Force
Das Verschlüsselungs-Feature sei laut Palant allerdings schwach und könne per Brute-Force-Attacke leicht ausgehebelt werden. Grund dafür ist die SHA1-Verschlüsselung. Demnach wurde lediglich eine einmalige Iteration ausgewählt. Als „moderat sicher“ gilt laut den Public-Key Cryptography Standards von vor zehn Jahren ein Wert von 1000. Heute ist der Industriestandard ein Wert von 10.000, der Passwort Manager LastPass nimmt sogar den Wert 100.000.
"Jeder, der jemals eine Login-Funktion auf einer Webseite designt hat, wird hier rot sehen“, so Palant. Mozilla wurde auf den Fehler bereits vor neun Jahren hingewiesen. Das geht aus einem entsprechenden Eintrag des Mozilla Bug Trackers hervor.
Besserung
Mozilla hat bereits Besserung versprochen und arbeitet aktuell an einem völlig neuen Passwort-Manager. Das Produkt mit dem Codenamen Lockbox befindet sich aktuell noch in der Entwicklungsphase, soll die Schwachstelle aber beheben.
Nutzern können bis dahin auf die in Firefox integrierte Passwort-Funktion verzichten und stattdessen etwa Drittanbieter-Passwortmanager nutzen. Alternativen sind etwa das quelloffene KeePass oder LastPass, das für den privaten Einsatz kostenlos ist.
Kommentare