Top
首页 > 网络和信息安全 > 重磅推荐 > 正文

Firefox主密码系统过去9年的安全性很差

Firefox和Thunderbird都允许用户通设置“主密码”。此主密码扮演加密密钥的角色,用于加密用户保存在浏览器或电子邮件客户端中的密码字符串。当时这算是一项先进的功能,因为那时候的浏览器大多在本地明文存储密码。
发布时间:2018-03-21 16:10        来源:bleepingcomputer        作者:

15214523402110

Firefox和Thunderbird都允许用户通设置“主密码”。此主密码扮演加密密钥的角色,用于加密用户保存在浏览器或电子邮件客户端中的密码字符串。当时这算是一项先进的功能,因为那时候的浏览器大多在本地明文存储密码。

但AdBlock Plus扩展的作者Wladimir Palant说,主密码功能所使用的加密方案很薄弱,并且很容易被暴力破解。“我查看了源代码,”Palant说,“发现了sftkdb_passwordToKey()函数,它的处理方式也就是SHA-1加盐“。Palant指出,SHA-1函数的迭代次数为1,这意味着它只应用一次,而行业惯例认为10,000是该值的最小值,而像LastPass这样的应用程序使用的值为100,000。

这种低迭代次数使得攻击者很容易暴力破解主密码,并且解密存储在Firefox或Thunderbird数据库中的加密密码。

专题访谈

合作站点
stat