miércoles, 21 de marzo de 2018

FIREFOX


Si usan Firefox y guardan sus contraseñas en el navegador quizás conozcan la función de contraseña maestra que ofrece el navegador de Mozilla, una que sirve para proteger todos los passwords que almacenan en el navegador de ojos no deseados.

Pues resulta que por casi una década Mozilla ha estado usando un sistema de cifrado prácticamente inútil actualmente para su característica de contraseña maestra. Uno que puede ser roto en un minuto usando fuerza bruta.

Muchos no recomiendan usar los gestores de contraseña del navegador precisamente porque si el usuario no usa la contraseña maestra para proteger todas las credenciales que almacena en él, estas permanecen en texto plano, bastante vulnerables no solo a un atacante o curioso con acceso físico al ordenador de la víctima, sino a ataques de malware.

Un esquema de cifrado ridículamente débil

La contraseña maestra en cambio se supone que cifra las contraseñas almacenadas y las protege de esto. Pero en el caso de Firefox (y Thunderbird) el cifrado usado es una iteración de SHA-1 tan débil que usando un ataque de fuerza bruta puede ser roto en un momento.

SHA-1 es un algoritmo de cifrado que ya ha sido demostrado puede romperse con ataques de fuerza bruta. Según Wladimir Palant, quien descubrió el problema, el esquema de cifrado que usa la función de contraseña maestra de Firefox tiene un recuento de iteración de 1, lo que quiere decir que se aplica una sola vez, mientras la industria recomienda un mínimo de 10.000 veces, y gestores de contraseña como LastPass usan valores de 100.000.


Lockbox, el nuevo gestor de contraseñas para Firefox en el que aún están trabajando

Palant, famoso por ser el autor de AdBlock Plus, no es el primero en notar la vulnerabilidad en Firefox. En una entrada en el rastreador de bugs de Mozilla ya existe un reporte del mismo problema hace nueve años, poco después de que se lanzara la función de contraseña maestra.

En todo ese tiempo Mozilla parece no haber tenido interés en abordar este problema, en cambio dicen que el lanzamiento de Lockbox, el nuevo gestor de contraseñas que tendrá Firefox, aún sin fecha exacta de lanzamiento, será la solución al problema. Mientras tanto, la recomendación sería no guardar las contraseñas en el navegador, un gestor de contraseñas independiente es mejor opción, aunque tampoco son infalibles.



Publicado bajo licencia Creative Commons.

No hay comentarios.:

Publicar un comentario