Firefox: Master-Passwort seit Jahren aufgrund nur einer Zahl unsicher
Open Source-Software bietet generell die Option, dass Sicherheitsprobleme leicht entdeckt und behoben werden können, da viele Nutzer die Möglichkeit haben, sich den Quellcode anzuschauen. Das setzt natürlich voraus, dass dies dann auch getan wird. Doch selbst bei großen Anwendungen wie eben dem Firefox zeigt sich immer wieder, dass sich offenbar alle darauf verlassen, dass schon andere Leute nachschauen werden.
Das führte nun dazu, dass der Entwickler Wladimir Palant ein Problem beim Umgang mit dem Master-Passwort entdeckte. Dieses besteht im Grunde seit der Einführung dieser Sicherung vor gut neun Jahren. Es handelt sich dabei nicht um einen klassischen Programmierfehler, sondern um eine völlig unzureichende Sicherung des Master-Passworts.
Den Firefox-Entwicklern sollte man dabei vor allem zum Vorwurf machen, dass sie nicht schon vor langer Zeit auf das Problem reagiert haben - denn kurz nach der Einführung des neuen Features wurde es schon einmal im Bugtracker gemeldet. Es hätte gereicht, wenn damals einfach die Iterations-Zahl heraufgesetzt worden wäre. Es kümmerte sich aber niemand darum und so geriet die ganze Sache letztlich in Vergessenheit.
Download Mozilla Firefox - Kostenloser Open-Source-Browser
Das führte nun dazu, dass der Entwickler Wladimir Palant ein Problem beim Umgang mit dem Master-Passwort entdeckte. Dieses besteht im Grunde seit der Einführung dieser Sicherung vor gut neun Jahren. Es handelt sich dabei nicht um einen klassischen Programmierfehler, sondern um eine völlig unzureichende Sicherung des Master-Passworts.
Alles dreht sich um eine Zahl
Die Kennung, mit der alle anderen Passwörter vor unbefugten Zugriffen geschützt werden sollen, wird gehasht gespeichert. Allerdings verwendet der Browser hier lediglich eine einfache Iteration. Derzeit wird aber eine 10.000-fache Iteration als solide Grundlage angesehen, sicherheitskritische Applikationen wie Passwort-Manager verwenden hingegen teilweise sogar einen Faktor von 100.000. In der Folge ist das Master-Passwort des Firefox viel zu leicht über eine Brute-Force-Attacke zu rekonstruieren. Insbesondere die enormen Weiterentwicklungen bei Grafikkarten machen es inzwischen möglich, solch einen Angriff in unter einer Minute zum Erfolg zu führen.Den Firefox-Entwicklern sollte man dabei vor allem zum Vorwurf machen, dass sie nicht schon vor langer Zeit auf das Problem reagiert haben - denn kurz nach der Einführung des neuen Features wurde es schon einmal im Bugtracker gemeldet. Es hätte gereicht, wenn damals einfach die Iterations-Zahl heraufgesetzt worden wäre. Es kümmerte sich aber niemand darum und so geriet die ganze Sache letztlich in Vergessenheit.
Download Mozilla Firefox - Kostenloser Open-Source-Browser
Diese Nachricht empfehlen
Kommentar abgeben
Netiquette beachten!
Beliebte Firefox-Downloads
Neue Firefox-Bilder
Foren-Beiträge zum Firefox
Weiterführende Links
Jetzt als Amazon Blitzangebot
Ab 16:05 Uhr 
Longruner 5 Inch Zoll Monitor Display Raspberry Pi Touch Screen 800x480 TFT LCD for Raspberry Pi 3 2 Model B RPi 1 B B+ A A+ with Touch Panel SD Card and Touch Pen LSC5A
Longruner 5 Inch Zoll Monitor Display Raspberry Pi Touch Screen 800x480 TFT LCD for Raspberry Pi 3 2 Model B RPi 1 B B+ A A+ with Touch Panel SD Card and Touch Pen LSC5A Original Amazon-Preis
10,00 €
Blitzangebot-Preis
8,50 €
Ersparnis zu Amazon 15% oder 1,50 €
Neue Nachrichten
- Wayback Machine: Internet-Archiv kann Seiten-Versionen vergleichen
- Intel startet Grafiktreiber-Update mit Windows 10 1909 Unterstützung
- Samsung DeX: Linux-Pläne mit dem Release von Android 10 aufgegeben
- Tchibo reduziert LTE-Allnet-Flat mit 4 GB auf 9,99 Euro/Monat
- Joyn arbeitet an Premium-Angebot ohne Werbung, mehr Live-Sender
- Microsoft zeigt drei neue farbenfrohe Wallpaper-Sets für Windows 10
- Windows 10: Update sorgt für Defender-Bug, Deinstallation empfohlen
Videos
Neueste Downloads
Beliebt im Preisvergleich
- Sicherheit & Backup:
Alle Kommentare zu dieser News anzeigen