Das führte nun dazu, dass der Entwickler Wladimir Palant ein Problem beim Umgang mit dem Master-Passwort entdeckte. Dieses besteht im Grunde seit der Einführung dieser Sicherung vor gut neun Jahren. Es handelt sich dabei nicht um einen klassischen Programmierfehler, sondern um eine völlig unzureichende Sicherung des Master-Passworts.
Alles dreht sich um eine Zahl
Die Kennung, mit der alle anderen Passwörter vor unbefugten Zugriffen geschützt werden sollen, wird gehasht gespeichert. Allerdings verwendet der Browser hier lediglich eine einfache Iteration. Derzeit wird aber eine 10.000-fache Iteration als solide Grundlage angesehen, sicherheitskritische Applikationen wie Passwort-Manager verwenden hingegen teilweise sogar einen Faktor von 100.000. In der Folge ist das Master-Passwort des Firefox viel zu leicht über eine Brute-Force-Attacke zu rekonstruieren. Insbesondere die enormen Weiterentwicklungen bei Grafikkarten machen es inzwischen möglich, solch einen Angriff in unter einer Minute zum Erfolg zu führen.Den Firefox-Entwicklern sollte man dabei vor allem zum Vorwurf machen, dass sie nicht schon vor langer Zeit auf das Problem reagiert haben - denn kurz nach der Einführung des neuen Features wurde es schon einmal im Bugtracker gemeldet. Es hätte gereicht, wenn damals einfach die Iterations-Zahl heraufgesetzt worden wäre. Es kümmerte sich aber niemand darum und so geriet die ganze Sache letztlich in Vergessenheit.
Download Mozilla Firefox - Kostenloser Open-Source-Browser
2018-03-19T08:00:00+01:00Christian Kahle
Alle Kommentare zu dieser News anzeigen