Digital Life
19.03.2018

Entwickler: Firefox-Passwort-Manager seit Jahren unsicher

Der in den Browser Firefox integrierte Passwort-Manager hat eine massive Schwachstelle.

Mozilla hat in seinem Browser Firefox und dem Mail-Client Thunderbird seit neun Jahren ein unsicheres Master-Passwort-System implementiert. Das wirft Wladimir Palant, Autor der AdBlock-Plus-Erweiterung, den Software-Entwicklern vor, wie BleepingComputer berichtet.

Das Master-Passwort dient bei Mozillas Programmen als Passphrase, mit dem jedes gespeicherte Passwort verschlüsselt wird. Ursprünglich lobten Sicherheitsforscher dieses Feature, da Passwörter in Browsern zuvor meist einfach im Klartext gespeichert wurden.

Brute Force

Das Verschlüsselungs-Feature sei laut Palant allerdings schwach und könne per Brute-Force-Attacke leicht ausgehebelt werden. Grund dafür ist die SHA1-Verschlüsselung. Demnach wurde lediglich eine einmalige Iteration ausgewählt. Als „moderat sicher“ gilt laut den Public-Key Cryptography Standards von vor zehn Jahren ein Wert von 1000. Heute ist der Industriestandard ein Wert von 10.000, der Passwort Manager LastPass nimmt sogar den Wert 100.000.

"Jeder, der jemals eine Login-Funktion auf einer Webseite designt hat, wird hier rot sehen“, so Palant. Mozilla wurde auf den Fehler bereits vor neun Jahren hingewiesen. Das geht aus einem entsprechenden Eintrag des Mozilla Bug Trackers hervor.

Besserung

Mozilla hat bereits Besserung versprochen und arbeitet aktuell an einem völlig neuen Passwort-Manager. Das Produkt mit dem Codenamen Lockbox befindet sich aktuell noch in der Entwicklungsphase, soll die Schwachstelle aber beheben.

Nutzern können bis dahin auf die in Firefox integrierte Passwort-Funktion verzichten und stattdessen etwa Drittanbieter-Passwortmanager nutzen. Alternativen sind etwa das quelloffene KeePass oder LastPass, das für den privaten Einsatz kostenlos ist.