Εδώ και 9 χρόνια οι Firefox και Thunderbird χρησιμοποιούν αδύναμη κρυπτογράφηση στην λειτουργία master password

[nnn]

Τα τελευταία 9 χρόνια η Mozilla κάνει χρήση ενός χαμηλής ασφάλειας μηχανισμού κρυπτογράφησης για την "master password" λειτουργία των Firefox και Thunderbird.

Σύμφωνα με το δημιουργό του AdBlock Plus extension Wladimir Palant, η κρυπτογράφηση είναι αδύναμη και μπορεί εύκολα να παραβιαστεί μέσω brute-force attack.

"I looked into the source code," Palant says, "I eventually found the sftkdb_passwordToKey() function that converts a [website] password into an encryption key by means of applying SHA-1 hashing to a string consisting of a random salt and your actual master password."

"Anybody who ever designed a login function on a website will likely see the red flag here," Palant says.

The flag Palant is referring to is the fact that the SHA-1 function has an iteration count of 1, meaning it's applied just once, while industry practices regard 10,000 as a solid minimum for this value, while applications like LastPass use values of 100,000.

This low iteration count makes it incredibly easy for an attacker to brute-force the master password and later decrypt the encrypted passwords stored inside the Firefox or Thunderbird databases.

Η συγκεκριμένη αδυναμία στην υλοποίηση της λειτουργίας "master password", αναφέρθηκε πρώτή φορά στον bug tracker της Mozilla, 9 χρόνια πριν αλλά αγνοήθηκε από τότε. Μόνο μετά την επανυποβολή από τον Palant, υπήρξε ενημέρωση πως αυτή θα αντιμετωπιστεί με το νέο password manager component με την κωδική ονομασία Lockbox που είναι σε ανάπτυξη.

Πηγή : Bleeping Computer

[keysmith]

Υπερβολές..
Ο κωδικός μια χαρά γίνεται hashed και εφόσον είναι ισχυρός και όπως πρέπει δεν κινδυνεύει με την καμία. Σε πάρα πολλά συστήματα μία φορά γίνεται hashed (με το αλατάκι του salt όπως πρέπει).

Να το κάνεις 10.000 hashed για να επιβραδύνεις επιθέσεις εντάξει δεν είναι και κρυπτογραφική λογική. Ας το κάνεις 100000000 φορές τότε.


Πιο πολύ για προώθηση κάποιου plugin μου κάνει.

The flag Palant is referring to is the fact that the SHA-1 function has an iteration count of 1, meaning it's applied just once, while industry practices regard 10,000 as a solid minimum for this value, while applications like LastPass use values of 100,000.

και το hashing δεν είναι κρυπτογράφιση του κωδικού :P

[deniSun]

Και άντε ας πούμε ότι έτσι είναι...
9 χρόνια δεν το είχα πάρει χαμπάρι κανείς;
Για psw μιλάμε, δεν μιλάμε για κανένα τρελό bug.

[fumantsu]

industry practices regard 10,000 as a solid minimum

Προφανως αγνοεις οτι τα industry standards εχουν βγει γιατι οτιδηποτε αλλο λιγοτερο εχει αποδεικτει ανεπαρκες.

[nkarytia]

Για κάτι που για να σπάσει με brute force attack θέλει φυσική πρόσβαση στο μηχάνημα είναι μια χαρά!

[keysmith]

Καμία αδυναμία δεν βρέθηκε και ο τίτλος είναι παραπλανητικός! Μια χαρά οι κρυπτογραφικές "αρχές" έχουν ακολουθηθεί.

Παιδιά είναι "αστείο" να στηρίζεις την ασφάλεια σε Χ 10.000 το hashing για να δημιουργήσεις εκεί καθυστέρηση. Οκ κάνει το brute force 10.000 πιο αργό αλλά με αυτή τη λογική ας μην το κάνουμε 10.000 hash αλλά να το κάνουμε 1.000 (δεν είναι αρκετό?) ή να το κάνουμε 10.000.000 (είναι αρκετό?). Άλλο να λές καλύτερα θα ήταν να ήταν Χ10.000 και άλλο να λές είναι "αδύναμη" η κρυπτογράφηση.

Η ασφάλεια ΠΡΕΠΕΙ να στηρίζεται απλά στην επιλογή "καλού" κωδικού (που είναι ΑΡΚΕΤΟ) και αν ο κωδικός είναι τέτοιος ΜΙΑ χαρά είναι προστατευμένος και με 1 X hash μαζί με το κατάλληλο salt.

[tsigarid]

Και άντε ας πούμε ότι έτσι είναι...
9 χρόνια δεν το είχα πάρει χαμπάρι κανείς;
Για psw μιλάμε, δεν μιλάμε για κανένα τρελό bug.

Ξαναδιάβασε την είδηση, το είχαν κάνει report.

[sgiak]

Συγνώμη, μιλάμε για το master password. Δεν είναι καν απαραίτητο αν δεν έχει κανείς άλλος πρόσβαση στον υπολογιστή.
Δεν είναι απλά υπερβολική η είδηση. Ουσιαστικά είναι παραπλανητική.
Στρέφει την προσοχή σε επουσιώδη ζητήματα ασφάλειας την ώρα που γίνεται της τρελής σε ένα σωρό άλλες υπηρεσίες και ουσιαστικά οι χρήστες του διαδικτύου είναι εκτεθειμένοι από παντού