รหัสผ่านหลักที่ใช้ในการเข้ารหัสรหัสผ่านมีความเสี่ยงที่จะถูกโจมตีแบบเดรัจฉาน แต่ที่ Mozilla หัวข้อนี้ไม่ค่อยสนใจคนมากนัก
หากคุณจัดเก็บรหัสผ่านของคุณใน Firefox และเข้ารหัสโดยใช้รหัสผ่านหลัก (MPM) โปรดทราบว่าระดับความปลอดภัยนั้นต่ำกว่าผู้จัดการที่เป็นทางการเช่น KeePass หรือ Lastpass ผู้พัฒนาวลาดิเมียร์ ปาลันท์ผู้สร้าง AdBlock Plus อย่างโดดเด่น เพิ่งได้ตรวจสอบซอร์สโค้ดของเบราว์เซอร์ เขาค้นพบว่า MPM นี้ได้รับการปกป้องอย่างอ่อนแอเท่านั้น เพื่ออะไร? เนื่องจากมันถูกแฮชด้วยวิธีง่ายๆ เท่านั้น โดยใช้อัลกอริธึม SHA1 และ Salt ที่เข้ารหัส
หากรหัสผ่านไม่ยาวหรือซับซ้อนมาก แฮกเกอร์ที่สามารถเข้าถึงคอมพิวเตอร์จะสามารถค้นหารหัสผ่านได้อย่างง่ายดาย เช่น ผ่านการ์ดแสดงผล“GPU มีประสิทธิภาพอย่างมากในการคำนวณแฮช SHA1 การ์ด Nvidia GTX 1080 เพียงใบเดียวสามารถคำนวณแฮช SHA1 ได้ถึง 8.5 พันล้านต่อวินาที », นึกถึง วลาดิเมียร์ ปาลันต์ รหัสผ่านที่มีเอนโทรปี 40 บิตจึงถูกทำลายภายในหนึ่งนาที
ปัญหาที่มีลำดับความสำคัญต่ำ
ช่องโหว่นี้ – ซึ่งเกี่ยวข้องกับการส่งข้อความของ Thunderbird ด้วย – ค่อนข้างโง่เพราะแก้ไขได้ง่าย การแทนที่ SHA1 ด้วยอัลกอริธึมสำหรับการจัดเก็บรหัสผ่านโดยเฉพาะ เช่น PBKDF2, Scrypt หรือ Bcrypt ก็เพียงพอแล้ว ซึ่งใช้การแฮชหรือการเข้ารหัสซ้ำหลายครั้งเพื่อป้องกันการโจมตีแบบเดรัจฉาน ตัวอย่างเช่น Lastpass ใช้ PBKDF2 พร้อม SHA256 ซ้ำ 100,000 ครั้ง
สิ่งที่แปลกคือข้อบกพร่องนี้ได้รับแจ้งแล้ว…เมื่อเก้าปีที่แล้ว หากต้องการทราบสิ่งนี้ ก็เพียงพอที่จะศึกษาไฟล์ต่างๆ524403et973756ซอฟต์แวร์ติดตามช่องโหว่ Bugzilla นักพัฒนาไม่สามารถตกลงกันได้แม้จะให้ความสำคัญกับหัวข้อนี้มากเพียงใด จริงๆ แล้วบางคนคิดว่าทันทีที่แฮกเกอร์เข้าถึงคอมพิวเตอร์ได้ มันก็สายเกินไปแล้ว ในเวลาเดียวกันการเปลี่ยนอัลกอริทึมจะค่อนข้างง่าย ส่วนคนอื่นๆก็ยังเชื่อว่าปัญหาจะได้รับการแก้ไขอยู่ดีด้วยกล่องล็อคซึ่งเป็นตัวจัดการรหัสผ่านที่สร้างโดย Mozilla เป็นส่วนขยายของ Firefox
🔴 เพื่อไม่พลาดข่าวสาร 01net ติดตามเราได้ที่Google ข่าวสารetวอทส์แอพพ์-
