Браузер Firefox 9 лет использовал ненадежную систему шифрования паролей
Автор расширения AdBlock Plus Владимир Палант
С ее помощью пользователь устанавливает единый пароль, который используется в качестве ключа шифрования для всех остальных данных, сохраненных при логинах на сайтах. Изначально функция получила положительные отзывы, поскольку ранее браузеры вообще хранили пароли в открытом виде, что давало преимущество злоумышленникам с физическим доступом к компьютеру.
Мастер-пароль работает в Firefox уже 9 лет и опирается на устаревший алгоритм шифрования SHA-1. Сейчас почти все компании и сервисы отказались от него, ввиду легкости взлома при помощи брут-форса, то есть перебора ключей. Палант указал, что современные видеокарты способны взломать мастер-пароль Firefox менее чем за минуту. К примеру, ускоритель Nvidia GTX 1080 способен вычислять 8,5 млрд хешей в секунду — иными словами, 8,5 млрд вариантов паролей. Учитывая, что люди обычно не очень изобретательны при их создании, это составляет реальную угрозу.
Легкость взлома обеспечена тем, что значение счетчика цикла у SHA-1 равняется единице. Оно указывает на то, сколько раз применяется алгоритм шифрования для «перезаписи» пользовательской строки. Индустриальным стандартом безопасности при этом является 10 000. Специализированные менеджеры паролей, вроде LastPass, используют алгоритмы со счетчиком цикла 100 000.
Палант — не первый, кто обнаружил уязвимость. Еще после запуска функции, 9 лет назад, на форуме Mozilla для поиска багов