这个设计是好的,可以加强提高使用者的安全性。不过,AdBlock Plus 扩充套件的作者 Wladimir Palant,最近却发现这个主控密码有一个大问题。
他表示,他最近在检视 sftkdb_passwordToKey() 这个函式的源代码,这个函式是用来将使用者输入的密码转换成加密金钥的函式,但是他在检视的时候发现,这个函式用来加密的方法是 SHA1 加密杂凑算法。但是他发现这个函式中用到的迭代次数仅为 1,而一般业界认为这个迭代次数应该要为一万才是安全的,比如说一样用到 SHA1 来保护用户密码的 LastPass 密码管理器,他们用到的迭代次数就为 10 万次。因此,可以说 Firefox、Thunderbird 的主控密码的安全值是非常低的。
在这种情况下,攻击者可以用暴力破解法来攻破密钥,然后就可以解密存放在 Firefox 或是 Thunderbird 中的密码。而且,依照现在 GPU 显卡的性能,攻击者大约在不到一分钟以内的时间,就可以暴力破解大多数的密码。
另外一位名叫 Justin Dolske 的开发者也表示,他早在 9 年前就发现了这个问题,当时 Mozilla 的主控密码功能才刚上线,他也透过官方的漏洞追踪系统上报这个问题。不过,他没有想到的是,Mozilla 这么多年来都没有处理这个问题。
Mozilla 针对此事的官方回应是,他们将在 Firefox 未来将新推出的密码管理套件 Lockbox 中解决这个问题。而在这之前,虽然有这个漏洞,使用主控密码依然是要比不使用安全的多,有专家建议,如果你真的担心的话,将主控密码设定为长而且复杂的主控密码,将可以增加暴力攻击的难度,可以暂时解决这个问题。
- Firefox Fails at Keeping Passwords Secure, Developer Claims
- Firefox Master Password System Has Been Poorly Secured for the Past 9 Years
(本文由 T客邦 授权转载;首图来源:shutterstock)
