Разработчик AdBlock Plus Владимир Палант раскритиковал систему защиту паролей в браузере Firefox и почтовом клиенте Thunderbird. По его словам, логины и пароли от сайтов можно украсть из этих программ  методом брутфорса за считанные минуты.

Для доступа к сохранённым в Firefox и Thunderbird паролям используется мастер-пароль, который играет роль ключа шифрования. Пароли хранятся в зашифрованном файле logins.json, а ключ от него доступен в файле key3.db. Для шифровки используется очень слабая технология SHA-1, которая бессильна перед брутфорсом с помощью видеокарты. Например, NVIDIA GTX 1080 может генерировать до 8,5 миллиардов вариантов паролей в секунду, что позволит ей справиться с задачей за несколько минут. После подбора мастер-пароля атакующий получает доступ ко всем сохранённым паролям, а также к информации, которая хранится в базе данных программ.

Проблема в том, что в Firefox и Thunderbird используется всего одна итерация функций SHA-1, тогда как нормальной практикой в IT-индустрии является защита с использованием 10 000 итераций, а в LastPass применяется 100 000 итераций, что сводит к минимуму риск взлома методом брутфорса.

Примечательно, что первое сообщение о проблемах с защитой паролей было опубликовано в баг-трекере Firefox девять лет назад. О ненадёжности тогда ещё совсем новой системы шифрования сообщил польский исследователь безопасности Джастин Дольске. Палант предложил специалистам компании Mozilla решить проблему хотя бы временно, внедрив в браузер существующее расширение Lockbox. Для приведения защиты Firefox к отраслевым стандартам потребуется перейти на использование более надёжного алгоритма шифрования.

---

Канал iG в Telegram — t.me/iguides_ru