Firefox: Master-Passwort seit Jahren aufgrund nur einer Zahl unsicher

Browser, Logo, Firefox, Mozilla, Mozilla Firefox Bildquelle: Mozilla
Im Open Source-Browser Firefox wird es Angreifern an entscheidender Stelle relativ einfach gemacht, eine der wichtigsten Schutzmaßnahmen sicherheitsbewusster Anwender zu attackieren. Das Master-Passwort, mit dem alle gespeicherten Kennungen abgesichert werden sollen, lässt sich viel zu leicht knacken. Open Source-Software bietet generell die Option, dass Sicherheitsprobleme leicht entdeckt und behoben werden können, da viele Nutzer die Möglichkeit haben, sich den Quellcode anzuschauen. Das setzt natürlich voraus, dass dies dann auch getan wird. Doch selbst bei großen Anwendungen wie eben dem Firefox zeigt sich immer wieder, dass sich offenbar alle darauf verlassen, dass schon andere Leute nachschauen werden.

Das führte nun dazu, dass der Entwickler Wladimir Palant ein Problem beim Umgang mit dem Master-Passwort entdeckte. Dieses besteht im Grunde seit der Einführung dieser Sicherung vor gut neun Jahren. Es handelt sich dabei nicht um einen klassischen Programmierfehler, sondern um eine völlig unzureichende Sicherung des Master-Passworts.


Alles dreht sich um eine Zahl

Die Kennung, mit der alle anderen Passwörter vor unbefugten Zugriffen geschützt werden sollen, wird gehasht gespeichert. Allerdings verwendet der Browser hier lediglich eine einfache Iteration. Derzeit wird aber eine 10.000-fache Iteration als solide Grundlage angesehen, sicherheitskritische Applikationen wie Passwort-Manager verwenden hingegen teilweise sogar einen Faktor von 100.000. In der Folge ist das Master-Passwort des Firefox viel zu leicht über eine Brute-Force-Attacke zu rekonstruieren. Insbesondere die enormen Weiterentwicklungen bei Grafikkarten machen es inzwischen möglich, solch einen Angriff in unter einer Minute zum Erfolg zu führen.

Den Firefox-Entwicklern sollte man dabei vor allem zum Vorwurf machen, dass sie nicht schon vor langer Zeit auf das Problem reagiert haben - denn kurz nach der Einführung des neuen Features wurde es schon einmal im Bugtracker gemeldet. Es hätte gereicht, wenn damals einfach die Iterations-Zahl heraufgesetzt worden wäre. Es kümmerte sich aber niemand darum und so geriet die ganze Sache letztlich in Vergessenheit.

Download Mozilla Firefox - Kostenloser Open-Source-Browser Browser, Logo, Firefox, Mozilla, Mozilla Firefox Browser, Logo, Firefox, Mozilla, Mozilla Firefox Mozilla
Diese Nachricht empfehlen
Kommentieren21
Jetzt einen Kommentar schreiben


Alle Kommentare zu dieser News anzeigen
Kommentar abgeben Netiquette beachten!
Einloggen

Jetzt als Amazon Blitzangebot

Ab 05:00 Uhr UMIDIGI - One - One ProUMIDIGI - One - One Pro
Original Amazon-Preis
149,99
Im Preisvergleich ab
169,99
Blitzangebot-Preis
119,99
Ersparnis zu Amazon 20% oder 30

Tipp einsenden