Si usas Firefox y guardas tus contraseñas en el navegador quizás conozcas la función de contraseña maestra que ofrece el navegador de Mozilla, una que sirve para proteger todos los passwords que almacenas en el navegador de ojos no deseados.
Pues resulta que por casi una década Mozilla ha estado usando un sistema de cifrado prácticamente inútil actualmente para su característica de contraseña maestra. Uno que puede ser roto en un minuto usando fuerza bruta.
Muchos no recomiendan usar los gestores de contraseña del navegador precisamente porque si el usuario no usa la contraseña maestra para proteger todas las credenciales que almacena en él, estas permanecen en texto plano, bastante vulnerables no solo a un atacante o curioso con acceso físico al ordenador de la víctima, sino a ataques de malware.
Un esquema de cifrado ridículamente débil
La contraseña maestra en cambio se supone que cifra las contraseñas almacenadas y las protege de esto. Pero en el caso de Firefox (y Thunderbird) el cifrado usado es una iteración de SHA-1 tan débil que usando un ataque de fuerza bruta puede ser roto en un momento.
SHA-1 es un algoritmo de cifrado que ya ha sido demostrado puede romperse con ataques de fuerza bruta. Según Wladimir Palant, quien descubrió el problema, el esquema de cifrado que usa la función de contraseña maestra de Firefox tiene un recuento de iteración de 1, lo que quiere decir que se aplica una sola vez, mientras la industria recomienda un mínimo de 10.000 veces, y gestores de contraseña como LastPass usan valores de 100.000.
Palant, famoso por ser el autor de AdBlock Plus, no es el primero en notar la vulnerabilidad en Firefox. En una entrada en el rastreador de bugs de Mozilla ya existe un reporte del mismo problema hace nueve años, poco después de que se lanzara la función de contraseña maestra.
En todo ese tiempo Mozilla parece no haber tenido interés en abordar este problema, en cambio dicen que el lanzamiento de Lockbox, el nuevo gestor de contraseñas que tendrá Firefox, aún sin fecha exacta de lanzamiento, será la solución al problema. Mientras tanto, la recomendación sería no guardar las contraseñas en el navegador, un gestor de contraseñas independiente es mejor opción, aunque tampoco son infalibles.
Vía | BleepingComputer
En Genbeta | Cómo instalar extensiones para Chrome en Firefox Quantum
Ver todos los comentarios en https://www.genbeta.com
VER 20 Comentarios