開發者驚訝:火狐瀏覽器「主控密碼」保護機制安全性太弱,卻就這麼用了 9 年

作者 | 發布日期 2018 年 03 月 29 日 7:30 | 分類 網路 , 資訊安全 , 軟體、系統 follow us in feedly

Mozilla 旗下有兩大軟體,分別是瀏覽器 Firefox 以及郵件軟體 Thunderbird,堪稱 Mozilla 的兩大支柱。不過,最近有開發者發現,這兩個軟體都有一個嚴重的漏洞,將導致使用者的密碼可能在一分鐘之內就被破解掉。而且,這個漏洞在 9 年前就已經被發現,但至今 Mozilla 都沒有打算解決。



這個漏洞的原因在於,Firefox 以及 Thunderbird 都可以讓使用者透過設定,在瀏覽器隱私權的設定中設定一個「主控密碼」。這個主密碼的功用相當於一個密鑰,可以用來加密保護使用者儲存在瀏覽器或是郵件客戶端的每個字串。

這個設計是好的,可以加強提高使用者的安全性。不過,AdBlock Plus 擴充套件的作者 Wladimir Palant,最近卻發現這個主控密碼有一個大問題。

他表示,他最近在檢視 sftkdb_passwordToKey() 這個函式的原始碼,這個函式是用來將使用者輸入的密碼轉換成加密金鑰的函式,但是他在檢視的時候發現,這個函式用來加密的方法是 SHA1 加密雜湊演算法。但是他發現這個函式中用到的疊代次數僅為 1,而一般業界認為這個疊代次數應該要為一萬才是安全的,比如說一樣用到 SHA1 來保護用戶密碼的 LastPass 密碼管理器,他們用到的疊代次數就為 10 萬次。因此,可以說 Firefox、Thunderbird 的主控密碼的安全值是非常低的。

在這種情況下,攻擊者可以用暴力破解法來攻破密鑰,然後就可以解密存放在 Firefox 或是 Thunderbird 中的密碼。而且,依照現在 GPU 顯卡的性能,攻擊者大約在不到一分鐘以內的時間,就可以暴力破解大多數的密碼。

另外一位名叫 Justin Dolske 的開發者也表示,他早在 9 年前就發現了這個問題,當時 Mozilla 的主控密碼功能才剛上線,他也透過官方的漏洞追蹤系統上報這個問題。不過,他沒有想到的是,Mozilla 這麼多年來都沒有處理這個問題。

Mozilla 針對此事的官方回應是,他們將在 Firefox 未來將新推出的密碼管理套件 Lockbox 中解決這個問題。而在這之前,雖然有這個漏洞,使用主控密碼依然是要比不使用安全的多,有專家建議,如果你真的擔心的話,將主控密碼設定為長而且複雜的主控密碼,將可以增加暴力攻擊的難度,可以暫時解決這個問題。

(本文由 T客邦 授權轉載;首圖來源:shutterstock)