O Firefox foi sempre uma das escolhas dos internautas para as navegações na Internet. Ao longo dos anos tem evoluído em diversas frentes, sempre procurando ser um browser melhor.
Uma revelação feita neste momento veio alertar para um problema grave de proteção, que pode comprometer as passwords guardadas neste browser. O problema maior é que esta lacuna existe há, ao menos, 9 anos.
Desde que foi introduzida a palavra-chave mestra, que a proteção dos dados dos utilizadores Firefox foi aumentada. Até essa altura as passwords eram guardadas no browser sem qualquer proteção ou cifra.
O problema de proteção do Firefox
O que se descobriu neste momento vem contrariar esta ideia, revelado que a palavra-chave mestra não traz assim tanta proteção. Em consonância com o que foi revelado, é usada uma função sftkdb_passwordToKey(), que converte uma password numa chave de criptografia pela aplicação duma hash SHA-1 a uma string que traduz-se num valor aleatório e na palavra-chave mestra.
O problema está no facto da função SHA-1 ser usada simplesmente 1 vez, enquanto o critério da indústria referir que deve ser usada ao menos 10 mil vezes seguidas. Aplicações como o LastPass usam valores de 100 mil.
Esta baixa interação torna muito simples a um atacante fazer um ataque de força bruta à palavra-chave mestra e posteriormente ter acesso às passwords guardadas no Firefox.
Com as mais recentes GPUs e as suas capacidades computacionais, este ataque de força bruta pode acontecer em simplesmente alguns minutos.
A solução pode estar perto de chegar
A Mozilla já está ciente da anomalia e até tem uma solução que já pode ser usada. O Lockbox, uma extensão criada para ser um gestor de passwords, irá em breve ser incluído no Firefox, garantindo uma muito maior proteção deste browser.
Um problema que existe há 9 anos
Apesar de ter voltado neste momento, esta lacuna já tinha sido reportada há 9 anos, tendo na altura a Mozilla ignorado o problema e não tendo tomado qualquer posição.
Mesmo sendo um problema grave e sem uma solução imediata, é recomendado que seja mantida a utilização da palavra-chave mestra. O que pode e deve ser criado é a definição duma nova, com mais caracteres e assim, uma maior proteção.
Fonte: Pplware
