火狐浏览器的密码管理器被发现存在长达9年的缺陷
最近有安全研究人员发现在过去的9 年里火狐浏览器始终使用过时的安全方案来保存用户的账号与密码信息。
而这种过时的安全方案则可在不到1分钟的时间里被现代GPU破解,其方案就是使用SHA-1对密码进行加密。
这个安全问题由知名广告拦截软件 ADBP 的作者发现的,实际上该问题在9年前就已经被其他研究员发现了。
使用脆弱的SHA-1算法进行加密:
火狐浏览器允许用户设置主密码来提高密码管理的安全性, 但其内置的安全方案确使用过时的 SHA-1 算法。
该浏览器中使用函数将随机盐组成的字符串转换为加密密钥,最终用于保护用户在火狐中存储的账号和密码。
随着时代的发展SHA-1 算法已经不再安全,因为只要使用强大的 GPU 即可分分钟破解该算法获得加密密钥。
火狐浏览器承认该缺陷并承诺尽快修复:
谋智基金会目前已经公开回应这个问题,该基金会称将会在最近推出新的密码管理器Lockbox来解决该问题。
新的密码管理器将使用强度更高的算法来加密用户的密码,确保在现有的情况下想暴力破解密码的难度更高。
同时用户亦可选择使用长度更长并且组合更复杂的主密码来提高安全性,这样可以增加密码破解所需的时间。