Система мастер-пароля в Firefox использует слабый механизм шифрования

Олег Иванов 19 Марта 2018 - 09:49

...

Система мастер-пароля в Firefox использует слабый механизм шифрования

На протяжении последних девяти лет Mozilla использует недостаточно устойчивый механизм шифрования для функции «мастер-пароль» («master password»). Напомним, что Firefox и Thunderbird позволяют настраивать «мастер-пароль», который используется для шифрования каждой строки любого пароля, который пользователь сохраняет в своем браузере или почтовом клиенте.

Ранее эксперты хвалили эту функцию, так как большинство браузеров умудрялись хранить сохраненные пароли в открытом виде, что, конечно же, позволяло злоумышленникам без проблем их перехватить. Не говоря уже о том, что любой, кто имеет физический доступ к компьютеру пользователя, мог запросто просмотреть сохраненные пароли пользователя.

Однако теперь автор расширения AdBlock Plus Владимир Палант (Wladimir Palant) утверждает, что используемая функцией «мастер-пароля» схема шифрования достаточно слаба и может быть уязвима к атаке вида брутфорс.

«Заглянув в исходный код, я обнаружил функцию sftkdb_passwordToKey(), которая отвечает за конвертацию пароля в ключ шифрования при помощи алгоритма SHA-1. Так вот, здесь кроется уязвимое место», — рассказывает Палант.

Автор AdBlock Plus имеет в виду количество итераций функции SHA-1 — 1. То есть SHA-1 применяется лишь один раз, что недопустимо, учитывая, что отраслевые практики пришли к минимальной цифре в 10 000. Например, популярный менеджер паролей LastPass использует значение, равное 100 000.

Такое малое количество итераций чревато тем, что атакующий может взломать защиту, используя пресловутую атаку типа брутфорс, что позволит ему расшифровать пароли, сохраненные в базах Firefox или Thunderbird.

Палант напоминает, что современные технологии позволяют графическим процессорам подбирать несложные мастер-пароли меньше чем за минуту.

Удивительно, что Палант далеко не первый исследователь, отметивший наличие этой проблемы. Девять лет назад некто Джастин Долск (Justin Dolske) рапортовал Mozilla об этом же баге.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 18 Ноября 2025 - 09:32

Корпорации Системы для анализа защищенности информационных систем Аудит информационной безопасности K2Тех Positive Technologies

K2 и Positive Technologies запустили бесплатный сервис оценки киберзащиты

K2 Cloud, K2 Кибербезопасность и Positive Technologies представили бесплатный онлайн-сервис, который позволяет за 10 минут оценить уровень защищённости ИТ-инфраструктуры компании и получить рекомендации по его усилению.

Инструмент создан на основе методологии Positive Technologies и экспертизы специалистов K2.

По словам Евгения Багрова, руководителя направления облачных сервисов кибербезопасности в K2 Кибербезопасность, число атак за последний год не только выросло, но и стало сложнее по технике исполнения, при этом всё больше атак направлены на конкретные организации.

Компании увеличивают бюджеты на кибербезопасность, но при этом сталкиваются с нехваткой кадров и ограниченностью ресурсов — поэтому им трудно самостоятельно выстроить полноценную стратегию защиты.

Как работает сервис

Оценка проводится по 11 ключевым направлениям:

структура ИБ-подразделения,
политики безопасности,
обучение сотрудников,
используемые средства защиты,
мониторинг и реагирование,
и другие параметры.

По итогам тестирования организация получает общий уровень киберустойчивости и список практических рекомендаций по его повышению. При необходимости можно запросить подробный аналитический отчёт и консультацию специалистов.

Почему такой сервис стал актуален

«По данным наших исследований, в 2025 году обеспечение кибербезопасности является одной из ключевых болей для 38% российских компаний. Почти половина (49%) ИТ- и ИБ-руководителей отмечают значительное повышение интереса к информационной безопасности со стороны генеральных директоров за последние два года. Новый инструмент позволит быстро обосновать инвестиции в информационную безопасность, сфокусировавшись на наиболее критичных для бизнеса направлениях, а также снизить операционные риски, связанные с простоем и утечкой данных», — отметила Анжелика Захарова, руководитель практики кибербезопасности K2 Cloud.

Проект поддержали информационные партнёры, среди которых Tadviser, Cyber Media, CISOCLUB, Anti-Malware.ru и Comnews.

Реклама АО: «К2 интеграция» ИНН 7701829110, 18+
ERID: 2VfnxyPMSyF