Браузер Firefox 9 лет использовал ненадежную систему шифрования паролей

Автор расширения AdBlock Plus Владимир Палант обнаружил, что браузер Firefox от Mozilla ненадежно хранит персональную информацию. Слабым местом оказалась функция «мастер-пароля», пишут AIN.UA.

С ее помощью пользователь устанавливает единый пароль, который используется в качестве ключа шифрования для всех остальных данных, сохраненных при логинах на сайтах. Изначально функция получила положительные отзывы, поскольку ранее браузеры вообще хранили пароли в открытом виде, что давало преимущество злоумышленникам с физическим доступом к компьютеру.

Мастер-пароль работает в Firefox уже 9 лет и опирается на устаревший алгоритм шифрования SHA-1. Сейчас почти все компании и сервисы отказались от него, ввиду легкости взлома при помощи брут-форса, то есть перебора ключей. Палант указал, что современные видеокарты способны взломать мастер-пароль Firefox менее чем за минуту. К примеру, ускоритель Nvidia GTX 1080 способен вычислять 8,5 млрд хешей в секунду — иными словами, 8,5 млрд вариантов паролей. Учитывая, что люди обычно не очень изобретательны при их создании, это составляет реальную угрозу.

Легкость взлома обеспечена тем, что значение счетчика цикла у SHA-1 равняется единице. Оно указывает на то, сколько раз применяется алгоритм шифрования для «перезаписи» пользовательской строки. Индустриальным стандартом безопасности при этом является 10 000. Специализированные менеджеры паролей, вроде LastPass, используют алгоритмы со счетчиком цикла 100 000.

Палант — не первый, кто обнаружил уязвимость. Еще после запуска функции, 9 лет назад, на форуме Mozilla для поиска багов появилось сообщение об использовании ненадежного шифрования. Однако официального ответа от компании удалось добиться только сейчас. В Mozilla сообщили, что проблему исправят с публичным релизом нового компонента для шифрования паролей. Сейчас он носит кодовое имя Lockbox и доступен для установки в качестве расширения.


Михаил Сапитон, AIN


!

Если для Вас конкретно эта новость оказалась важной или интересной - пожалуйста, поделитесь ею в своей любимой социальной сети с помощью кнопок, расположенных под этим текстом. Это поможет нам в будущем делать более качественную подборку материалов, исходя из Ваших потребностей\интересов.




Коды для вставки в блог\форум

blog comments powered by Disqus


Вспомним другие новости из этого раздела?


Soft

←+Ctrl+→

Интересные новости
OC Windows заблокировала программу uTorrentOC Windows заблокировала программу uTorrent
Украинские IT-компании показали единые требования к джуниорам, которые хотят к ним на работуУкраинские IT-компании показали единые требования к джуниорам, которые хотят к ним на работу
Amazon создал собственный браузер и назвал его InternetAmazon создал собственный браузер и назвал его Internet
Microsoft отложила глобальное обновление Windows 10 из-за «синего экрана смерти»Microsoft отложила глобальное обновление Windows 10 из-за «синего экрана смерти»
Разработчики Google выпустили бесплатное приложение для изучения JavaScriptРазработчики Google выпустили бесплатное приложение для изучения JavaScript
Блок рекламы


Похожие новости

Amazon создал собственный браузер и назвал его InternetAmazon создал собственный браузер и назвал его Internet
СБУ обнаружила госпредприятие, которое использовало роSSийское программное обеспечениеСБУ обнаружила госпредприятие, которое использовало роSSийское программное обеспечение
Google сообщил о серьёзной уязвимости в браузере Microsoft EdgeGoogle сообщил о серьёзной уязвимости в браузере Microsoft Edge
Microsoft тестирует Windows без паролейMicrosoft тестирует Windows без паролей
Opera внедрила защиту от скрытого майнинга в мобильные браузерыOpera внедрила защиту от скрытого майнинга в мобильные браузеры
В браузер Opera добавили встроенную защиту от майнинга криптовалютВ браузер Opera добавили встроенную защиту от майнинга криптовалют
Вышел Firefox Quantum — вдвое быстрее старой версии, на 30% легче ChromeВышел Firefox Quantum — вдвое быстрее старой версии, на 30% легче Chrome
Prometheus 2.0: систему мониторинга ускорили с новым хранилищем данныхPrometheus 2.0: систему мониторинга ускорили с новым хранилищем данных
Microsoft поучает Google, как правильно исправлять уязвимости безопасности в браузере ChromeMicrosoft поучает Google, как правильно исправлять уязвимости безопасности в браузере Chrome
В KDE Plasma 5.11 добавили Vault для удобного шифрования документовВ KDE Plasma 5.11 добавили Vault для удобного шифрования документов
Последние новости

Подгружаем последние новости