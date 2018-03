Firefox-Passwort-Manager ist seit Jahren unsicher

Seit nunmehr neun Jahren verwende Mozilla einen zu schwachen Verschlüsselungsmechanismus für die "Master-Passwort"-Funktion. Das Problem betreffe sowohl den Browser Firefox als auch das E-Mail-Programm Thunderbird, schreibt 'Bleeping Computer'. Die gespeicherten Passwörter seien nicht ausreichend vor Diebstahl geschützt, warnt der vom Magazin zitierte Security-Forscher Wladimir Palant.Demnach komme das mittlerweile als leicht knackbar geltende Hash-Verfahren SHA-1 zum Einsatz. Das Problem sei, dass bei SHA-1 der Vorgang, um ein Passwort in einen Hash zu übersetzen, nur einmal angewandt werde. Dies sei äusserst unüblich, so der Bericht. Als solider Standard gelte derFaktor 10'000, der Passwort-Manager LastPass würde gar den Faktor 100'000 anwenden.Innerhalb von Sekunden könnten Angreifer deshalb mittels Brute-Force-Attacken Millionen von Hashes ausprobieren. Dafür allerdings, wie 'Bleeping' schreibt, müsste der Angreifer Zugang zum PC haben, beispielsweise mit einem Trojaner. Dennoch rät Palant wenigstens ein langes, komplexes Master-Passwort zu verwenden oder auf eine Applikation eines Drittanbieters zurückzugreifen.Mozilla sei bereits vor neun Jahren, kurz nach dem Launch der Master-Passwort-Funktion, auf dieses Problem hingewiesen worden. Dies zeige ein damals erstellter Bug-Report. Nun meldet die Mozilla Foundation, dass man an der Behebung des Problems arbeite. Ein Produkt, das die Schwachstelle beheben soll, befinde sich in Entwicklung. (kjo)