如果您將密碼儲存在 Firefox 中並使用主密碼 (MPM) 對其進行加密,請注意,安全性等級低於 KeePass 或 Lastpass 等正式管理器。開發商弗拉基米爾·帕蘭特著名的 AdBlock Plus 創始人,最近研究了該瀏覽器的源代碼。他發現這個 MPM 的保護很弱。為了什麼 ?因為它僅使用 SHA1 演算法和加密鹽以簡單的方式進行雜湊處理。
如果密碼不長或非常複雜,則有權存取電腦的駭客可以輕鬆地透過暴力(例如透過顯示卡)找到它。「GPU 在計算 SHA1 雜湊值方面非常有效率。單一 Nvidia GTX 1080 卡片每秒可計算 85 億個 SHA1 雜湊值 »”,弗拉基米爾·帕蘭特回憶道。因此,熵為 40 位元的密碼在一分鐘內就被破解。
低優先權問題
這個漏洞(也涉及 Thunderbird 訊息傳遞)非常愚蠢,因為它很容易修正。用 PBKDF2、Scrypt 或 Bcrypt 等專用於密碼儲存的演算法替換 SHA1 就足夠了,這些演算法應用大量雜湊或加密迭代來防止暴力攻擊。例如,Lastpass 使用 PBKDF2 和 SHA256 的 100,000 次迭代。
奇怪的是,這個缺陷早在九年前就已經被通知過。要實現這一點,查閱文件就足夠了524403等973756Bugzilla 漏洞追蹤軟體。開發人員甚至無法就該主題的重要性達成一致。有些人認為,事實上,從駭客獲得電腦存取權限的那一刻起,就已經太晚了。同時,更換演算法也非常簡單。還有一些人仍然相信,無論如何,問題都會解決密碼箱,由 Mozilla 作為 Firefox 擴充功能創建的密碼管理器。
