Паролите от Firefox и Thunderbird могат да бъдат откраднати за 2-3 минути
Създателят на AdBlock Plus разкритикува системата за отбрана на паролите, употребена в браузъра Firefox и пощенския клиент Thunderbird.
Той съобщи, че потребителските имена и паролите от тези стратегии могат да бъдат откраднати за броени минути.
За достъпа до записаните във Firefox и Thunderbird пароли се употребява основна ключова дума, която се употребява като ключ за тяхното криптиране. Паролите се съхраняват в криптирания файл key3.db. За самото криптиране се употребява доста слабата технология SHA-1, която е безсилна против подбора посредством груба мощ, осъществен благодарение на графична карта.
Така да вземем за пример, видеокартата NVIDIA GTX 1080 може да генерира до 8,5 милиарда разновидността на паролите в секунда и се оправя единствено за няколко минути. След приемането на основната ключова дума, атакуващият получава достъпа до всички записани в браузъра пароли.
Основният проблем е, че във Firefox и Thunderbird се употребява единствено една итерация на функционалността SHA-1. Нормалната процедура е потреблението на 10 000 итерации, а в LastPass се употребяват 100 000 итерации, което понижава до най-малко риска за разтрошаване на паролата посредством метода на грубата мощ.
Първото известие за този проблем се появи още преди 9 години. Но и до през днешния ден обстановката е същата.
Той съобщи, че потребителските имена и паролите от тези стратегии могат да бъдат откраднати за броени минути.
За достъпа до записаните във Firefox и Thunderbird пароли се употребява основна ключова дума, която се употребява като ключ за тяхното криптиране. Паролите се съхраняват в криптирания файл key3.db. За самото криптиране се употребява доста слабата технология SHA-1, която е безсилна против подбора посредством груба мощ, осъществен благодарение на графична карта.
Така да вземем за пример, видеокартата NVIDIA GTX 1080 може да генерира до 8,5 милиарда разновидността на паролите в секунда и се оправя единствено за няколко минути. След приемането на основната ключова дума, атакуващият получава достъпа до всички записани в браузъра пароли.
Основният проблем е, че във Firefox и Thunderbird се употребява единствено една итерация на функционалността SHA-1. Нормалната процедура е потреблението на 10 000 итерации, а в LastPass се употребяват 100 000 итерации, което понижава до най-малко риска за разтрошаване на паролата посредством метода на грубата мощ.
Първото известие за този проблем се появи още преди 9 години. Но и до през днешния ден обстановката е същата.
Източник: kaldata.com
КОМЕНТАРИ