Firefox: Master-Passwort ist seit neun Jahren unsicher

Einem Bericht zufolge weist das sogenannte Master-Passwort, dass gespeicherte Passwörter in Thunderbird und Firefox schützen soll, eine erhebliche Sicherheitslücke auf - Angreifer können demnach das Passwort vergleichsweise einfach herausfinden. Schuld ist eine unvorteilhafte SHA1-Verschlüsselung.

Silvio Werner, Veröffentlicht am 19.03.2018

Security Software

Gespeicherte Passwörter im Browser sind komfortabel, allerdings aus Sicht der Sicherheit kritisch: Bekommt ein Angreifer Zugriff auf den PC, so kann dieser erheblichen Schaden anrichten.

Thunderbird und Firefox bieten deshalb die Einrichtung eines sogenannten Master-Passworts an, welches die gespeicherten Passwörter schützen soll. Dem AdBlock Plus-Entwickler Wladimir Palant zufolge ist diese Funktion aber nicht optimal geschützt.

So wird das Passwort via SHA-1 verschlüsselt, wobei allerdings lediglich eine einmalige Iteration gewählt wird, der Hash-Vorgang somit nur einmal getätigt wird. Das ist insofern relevant, als dass die Zahl der Iterationen mit der Wahrscheinlichkeit für einen erfolgreichen Brute-Force-Angriff korreliert. So nutzen kommerzielle Applikationen häufig mindestens 10.000 Iterationen, LastPass sogar 100.000.

Absurd: Der Fehler ist bereits seit neun Jahren bekannt - damals wurde der Bug kurz nach dem Release des neuen Features gemeldet. Dabei würde es bereits reichen, die Zahl der Iterationen schlicht zu erhöhen.

Quelle(n)

www.bleepingcomputer.com/news/security/firefox-master-password-system-has-been-poorly-secured-for-the-past-9-years/

Verwandte Artikel

Firefox: Site Isolation soll vor Spectra-artigen Angriffen schützen (Symbolbild)

Firefox: Site Isolation soll vor Spectra-artigen Angriffen schützen 07.02.2019

Hier ist ein Bild der Datensammlung zu sehen, so wie sie in einem bekannten Hackerforum gepostet wurde. Oben links ist der Name

773 Millionen E-Mail-Adressen und Passwörter im Internet aufgetaucht 17.01.2019

Mozilla hat schädliche Firefox-Erweiterung empfohlen 18.08.2018

Firefox Klar bekommt neue Funktionen und BlackBerry-Version (Bild: Mozilla)

Firefox Klar bekommt neue Funktionen und BlackBerry-Version 15.07.2018

Mozilla präsentiert Notiz-Anwendung und Passwort-Manager für Mobilgeräte, Bild: Mozilla

Mozilla präsentiert Notiz-Anwendung und Passwort-Manager für Mobilgeräte 11.07.2018

Firefox 61 warnt Nutzer vor gehackten Accounts und ist schneller 26.06.2018

Security: iPhone-Aufladung kann gefährlich werden (Symbolfoto)

Security: iPhone-Aufladung kann gefährlich werden 19.04.2018

Eine leicht zu merkende DNS-Adresse für Cloudflares neues DNS-Service.

Schnelleres und sichereres Internet mit Cloudflares 1.1.1.1 DNS 02.04.2018

Security: iPhone ist mit Hardware einfach knackbar (Symbolfoto)

Security: iPhone ist mit Hardware einfach knackbar 16.03.2018

Security: Krypto-Malware schaltet Konkurrenz aus 13.03.2018

Sicherheits-Studie: Nachholbedarf bei der IT-Sicherheit in der deutschen Industrie.

Security-Studie: Deutschlands Wirtschaft sieht Nachholbedarf bei IT-Sicherheit 07.03.2018

Gefährlicher Trojaner an Bord: China-Smartphones ab Werk mit Schädling verseucht.

Security: China-Smartphones mit Trojaner ab Werk (Update 3) 06.03.2018

Security: GitHub von neuartiger, schwerer DDoS-Attacke betroffen (Symbolfoto)

Security: GitHub von neuartiger, schwerer DDoS-Attacke betroffen 02.03.2018

Security: Flash Player wird über ungepatchte Lücke attackiert 02.02.2018

Security: Lenovo Fingerprint Manager hatte Backdoor 26.01.2018

Security: Großangelegte Spionage-Aktion gegen Android-Nutzer aufgedeckt 20.01.2018

Security: Lenovo-Switches hatten seit 2004 Backdoor (Symbolfoto)

Security: Lenovo-Switches hatten seit 2004 Backdoor 14.01.2018

Security: Die miserabelsten Passwörter 2017 und wurde Ihres gehackt? 20.12.2017

Security: Windows Hello lässt sich austricksen Bild: Microsoft

Security: Windows Hello lässt sich austricksen 18.12.2017

Security: Neue Rekordwerte für Malware, rasanter Anstieg für Android 18.12.2017

Loading Comments

Diesen Artikel kommentieren / Antworten

Bericht: Apple arbeitet an eigenen ...

LG G7 aus Kostengründen wohl wieder...

Silvio Werner - Senior Tech Writer - 10020 Artikel auf Notebookcheck veröffentlicht seit 2017

Ich bin seit über zehn Jahren journalistisch aktiv, den Großteil davon im Bereich Technologie. Dabei war ich unter anderem für Tom's Hardware und ComputerBase tätig und bin es seit 2017 auch für Notebookcheck. Mein aktueller Fokus liegt insbesondere auf Mini-PCs und auf Einplatinenrechnern wie dem Raspberry Pi – also kompakten Systemen mit vielen Möglichkeiten. Dazu kommt ein Faible für alle Arten von Wearables und insbesondere für Smartwatches. Hauptberuflich bin ich als Laboringenieur unterwegs, weshalb mir weder naturwissenschaftliche Zusammenhänge noch die Interpretation komplexer Messungen fern liegen.

Kontakt: silvio39191, LinkedIn

Teilen Sie diesen Artikel, um uns zu unterstützen. Jeder Link hilft!

> Notebook Test, Laptop Test und News > News > Newsarchiv > News 2018-03 > Firefox: Master-Passwort ist seit neun Jahren unsicher

Autor: Silvio Werner, 19.03.2018 (Update: 15.05.2018)