2337995

Firefox: Master Passwort seit neun Jahren unsicher

19.03.2018 | 15:02 Uhr |

Seit neun Jahren ist das Master Passwort von Firefox und Thunderbird aufgrund einer unzureichenden Verschlüsselung unsicher.

Sowohl in Firefox als auch in Thunderbird können Nutzer ein Master Passwort anlegen. Beim Start wird dieses abgefragt, gleichzeitig soll es die im Browser gespeicherten Passwörter schützen. Nun stellt sich heraus, dass das Master Passwort aufgrund einer unzureichenden Verschlüsselung seit neun Jahren unsicher ist. Laut Wladimir Palant, Autor der Browser-Erweiterung AdBlock Plus, lässt sich das Master Passwort von Firefox und Thunderbird mit einer Bruteforce-Attacke relativ einfach knacken.

Für seine Recherchen hat sich Palant den Quellcode der Funktion näher angeschaut. Dabei fiel auf, dass das Master Passwort zwar via SHA-1 verschlüsselt wird, es kommt jedoch nur ein Hash-Vorgang zum Einsatz. Die Industrie sieht mindestens 10.000 Iterationen vor, das Passwort-Programm LastPass sogar 100.000. Daher sei es extrem einfach, das Master Passwort zu erraten und danach alle gespeicherten Passwörter auszulesen. Mit aktuellen Grafikkarten könnte dieser Vorgang weniger als eine Minute lang dauern. Die Schwachstelle wurde bereits vor neun Jahren von Justin Dolske gemeldet, Mozilla reagierte jedoch nicht darauf. Für die nahe Zukunft hat Mozilla einen neuen Passwort-Manager namens Lockbox für Firefox angekündigt, mit dem die schwache Verschlüsselung behoben werden soll. Bis dahin sollten Nutzer ein relativ langes Master Passwort wählen, um den Schutz zu erhöhen. 

Die besten Passwort-Manager für PC

0 Kommentare zu diesem Artikel

PC-WELT Marktplatz

2337995