如果您将密码存储在 Firefox 中并使用主密码 (MPM) 对其进行加密,请注意,安全级别低于 KeePass 或 Lastpass 等正式管理器。开发商弗拉基米尔·帕兰特著名的 AdBlock Plus 创始人,最近研究了该浏览器的源代码。他发现这个 MPM 的保护很弱。为了什么 ?因为它仅使用 SHA1 算法和加密盐以简单的方式进行哈希处理。
如果密码不长或非常复杂,则有权访问计算机的黑客可以很容易地通过暴力(例如通过显卡)找到它。“GPU 在计算 SHA1 哈希值方面非常高效。单个 Nvidia GTX 1080 卡每秒可计算 85 亿个 SHA1 哈希值 »”,弗拉基米尔·帕兰特回忆道。因此,熵为 40 位的密码在一分钟内就被破解。
低优先级问题
这个漏洞(也涉及 Thunderbird 消息传递)非常愚蠢,因为它很容易纠正。用 PBKDF2、Scrypt 或 Bcrypt 等专用于密码存储的算法替换 SHA1 就足够了,这些算法应用大量散列或加密迭代来防止暴力攻击。例如,Lastpass 使用 PBKDF2 和 SHA256 的 100,000 次迭代。
奇怪的是,这个缺陷早在九年前就已经被通知过。要实现这一点,查阅文件就足够了524403等973756Bugzilla 漏洞跟踪软件。开发人员甚至无法就该主题的重要性达成一致。有些人认为,事实上,从黑客获得计算机访问权限的那一刻起,就已经太晚了。同时,更换算法也非常简单。还有一些人仍然相信,无论如何,问题都会得到解决密码箱,由 Mozilla 作为 Firefox 扩展创建的密码管理器。
