Użytkownicy produktów Mozilli – Thunderbirda i Firefoksa od wielu lat mogą ustawić hasło główne, które pozwala zabezpieczyć zapisane dane logowania do różnych stron i usług. Ustawienia te są domyślnie wyłączone, ale znajdują się w Menu > Preferencje > Prywatność i bezpieczeństwo. W odpowiednim miejscu okienka należy zaznaczyć opcję Używaj hasła głównego.
Jak zauważa serwis Bleeping Computer[1], dawniej, niektóre przeglądarki przechowywały hasła w zwykłym, otwartym tekście przez co były one podatne na kradzież. Autor dodatku blokującego reklamy AdBlock Plus, Wladimir Palant, twierdzi jednak, że szyfrowanie użyte w Firefoksie jest słabe i łatwo je złamać.
Użyta tam funkcja skrótu SHA-1 jest dość stara i coraz rzadziej stosowana. Dodatkowo już ponad rok temu uzyskano kolizję, w której dwa różne pliki PDF otrzymały taki sam skrót SHA-1, co jest bardzo niebezpieczne z punktu widzenia bezpieczeństwa.
Badacz twierdzi, że hasło na danej witrynie jest zamieniane w klucz szyfrujący poprzez SHA-1 z solą i hasłem głównym. Ilość iteracji dla SHA-1 wynosi tylko 1. Jak zauważa serwis, obecnie standardem jest 10 000, w przypadku niektórych aplikacji nawet 100 000. W ten sposób atakujący może podjąć próbę ataku brute force i uzyskać dostęp do pozostałych haseł w bardzo krótkim czasie.
Okazuje się jednak, że ta słabość została zauważona i zgłoszona już 9 lat temu przez innego badacza. Na szczęście Firefox poinformował, że zostanie to poprawione wraz z wydaniem nowego komponentu (menedżer haseł).
[1] https://www.bleepingcomputer.com/news/security/firefox-master-password-system-has-been-poorly-secured-for-the-past-9-years/