Firefox-Passwort-Manager ist seit Jahren unsicher

19. März 2018, 16:17
  • security
  • sicherheit
image

Seit nunmehr neun Jahren verwende Mozilla einen zu schwachen Verschlüsselungsmechanismus für die "Master-Passwort"-Funktion.

Seit nunmehr neun Jahren verwende Mozilla einen zu schwachen Verschlüsselungsmechanismus für die "Master-Passwort"-Funktion. Das Problem betreffe sowohl den Browser Firefox als auch das E-Mail-Programm Thunderbird, schreibt 'Bleeping Computer'. Die gespeicherten Passwörter seien nicht ausreichend vor Diebstahl geschützt, warnt der vom Magazin zitierte Security-Forscher Wladimir Palant.
Demnach komme das mittlerweile als leicht knackbar geltende Hash-Verfahren SHA-1 zum Einsatz. Das Problem sei, dass bei SHA-1 der Vorgang, um ein Passwort in einen Hash zu übersetzen, nur einmal angewandt werde. Dies sei äusserst unüblich, so der Bericht. Als solider Standard gelte der Faktor 10'000, der Passwort-Manager LastPass würde gar den Faktor 100'000 anwenden.
Innerhalb von Sekunden könnten Angreifer deshalb mittels Brute-Force-Attacken Millionen von Hashes ausprobieren. Dafür allerdings, wie 'Bleeping' schreibt, müsste der Angreifer Zugang zum PC haben, beispielsweise mit einem Trojaner. Dennoch rät Palant wenigstens ein langes, komplexes Master-Passwort zu verwenden oder auf eine Applikation eines Drittanbieters zurückzugreifen.
Mozilla sei bereits vor neun Jahren, kurz nach dem Launch der Master-Passwort-Funktion, auf dieses Problem hingewiesen worden. Dies zeige ein damals erstellter Bug-Report. Nun meldet die Mozilla Foundation, dass man an der Behebung des Problems arbeite. Ein Produkt, das die Schwachstelle beheben soll, befinde sich in Entwicklung. (kjo)

Loading

Mehr zum Thema

image

Cybersecurity bei EY

Mit dem Cybersecurity Team unterstützen wir bei EY unsere Kundinnen und Kunden bei der Risikominimierung von Cyberangriffen.

image

Geotech: Was die Schweiz für mehr Cybersicherheit tun kann

Die geopolitische Lage spitzt sich auch im Cyberspace zu. Einzelne Anbieter auszuschliessen, sei keine gute Massnahme, sagen Security-Experten. Sie bevorzugen andere Mittel.

publiziert am 4.10.2022
image

Ransomware-Bande meldet Angriff auf Ferrari

Die Gruppe Ransomexx hat angeblich erbeutete Dateien veröffentlicht. Der Automobilhersteller erklärt, keine Beweise für eine Verletzung seiner Systeme zu haben.

publiziert am 3.10.2022
image

Neue Zero-Day-Lücken in Exchange Server

Die Lücken werden aktiv ins Visier genommen. Bisher gibt es nur einen Workaround.

publiziert am 3.10.2022