Wladimir Palant, Entwickler der Browsererweiterung AdBlock Plus, hat eine Schwachstelle im Passwort-Manager des Mozilla-Browsers Firefox entdeckt. Seiner Analyse zufolge wird das Master-Passwort nur mit einem einzigen SHA-1-Durchgang und einem zufälligen Salt-Wert verschlüsselt. Ein einziger Durchgang sei bei SHA-1 zur Abwehr von Brute-Force-Angriffen allerdings viel zu wenig – es seien stattdessen „mindestens 100.000 Wiederholungen“ erforderlich.
Seine Behauptung stützt er mit der Leistungsfähigkeit moderner Grafikarten. „Das Problem ist: GPUs sind sehr gut darin, SHA-1-Hashes zu errechnen. Eine einzelne Grafikkarte vom Typ Nvidia GTX 1080 kann 8,5 Milliarden Hashes pro Sekunde berechnen. Das bedeutet, dass 8,5 Milliarden Passwörter pro Sekunde getestet werden können.“ Durchschnittlich sei folglich ein Passwort mit einer Länge von 40 Bit in etwa einer Minute geknackt.
Bei seinen Berechnungen stützt sich Palant auf eine Studie von Microsoft, die allerdings schon elf Jahre alt ist. Demnach haben Passwörter eine durchschnittliche Länge von 40 Bits, was laut Neowin fünf ASCII-Zeichen entspricht. Auf Nachfrage des Blogs erklärte der Entwickler, dass längere Passwörter in dem Fall eigentlich nur eine „Unbequemlichkeit“ für den Nutzer seien, aber die Sicherheit nicht spürbar verbesserten.
Nutzer, die sich auf den in Firefox integrierten Passwort-Manager verlassen, profitieren auch von einer Synchronisation ihrer Kennwörter über ihr Firefox-Konto. Ähnliche Funktionen bieten selbstverständlich auch Lösungen anderer Anbieter, die derzeit möglicherweise die bessere Alternative zum Passwort-Manager von Mozilla sind.
Bleeping Computer weist darauf hin, dass der Fehler bereits vor neun Jahren durch den Nutzer Justin Dolske an Mozilla gemeldet wurde – ohne dass die Entwickler darauf reagierten. Zu dem von Palant reaktivierten Fehlerbericht liegt jedoch inzwischen eine offizielle Antwort vor. Demnach soll der Passwort-Manager überarbeitet werden. Die neue Lösung mit dem Codenamen Lockbox liegt derzeit als Erweiterung vor. Sie soll bis zu einer Million Wiederholungen für die Verschlüsselung des Master-Passworts nutzen.
Von dem Problem betroffen sind nur Nutzer, die ihre in Firefox hinterlegten Kennwörter mit einem Master-Passwort schützen, das allerdings optional ist und nicht automatisch eingerichtet werden muss. Es verhindert, dass Unbefugte auf die im Browser gespeicherten Passwörter zugreifen können. In erster Linie sollte sich der Bug also nur durch Dritte mit physischem Zugriff auf den Browser ausnutzen lassen.
Tipp:: Wie gut kennen Sie Firefox? Überprüfen Sie Ihr Wissen – mit dem Quiz auf silicon.de.
Report: State of Digital Transformation EMEA 2019
Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!
Neueste Kommentare
4 Kommentare zu AdBlock-Plus-Entwickler macht Passwort-Fehler in Firefox öffentlich
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Da ist doch nichts Neues und seit etlichen Jahren bekannt. Deshalb gibt es ja die Paßwort-Manager wie z.B. Keepass.
Selbst Schuld, wer so etwas benutzt und nicht genügend Fantasie hat, um sich selbst ein eigenes Passwort zu erstellen. Aber anstatt selbst mal sein Hirn zu benutzen, was auch noch „jung“ hält, vertraut man seine Daten einem Passwort-Manager an. Dabei ist es von bequem bis faul nur ein ganz kleiner Schritt.
Diese Aussage ist korrekt bei 5 bis 10 Paßworten, und bis vor 4 Jahren nutzte ich auch noch keinen. Zudem is, wie auch neueste Untersuchungen ergeben, nicht nur die Komplexität des PWs entscheidend, sondern in erster Linie die Länge. Für mich hatte sich ein komplexer Kern des PWs herauskristallisiert, der dann durch Padding (Hinzufügen einer großen Zahl gleicher Zeichen) zu einer Länge vom 32 ergänzt wurde.
2 Gründe haben mich dann zum PW-Manager getrieben:
– Die große Anzahl von PWn, wegen der Kunden; vorher in einem Truecrypt –> Veracrypt-Container.
– Die Sicherheit bei der Eingabe in Browser etc.
Denn:
– Die Eingabe des PWs vom Manager erfolgt in einem gesicherten Dialog-Fenster und kann zusätzlich über Schlüsseldateien oder PGP-Schlüssel abgesichert werden.
– Der PW-Manager erledigt die Eingabe der Zugangsdaten über 2 Kanäle: Zwischenablage und Tastatur, und das auch noch zufällig gemischt.
– Außerdem ist das Programm portabel und auf allen gängigen Plattformen verfügbar.
– Außerdem Nicht in der Klaut, deutsch frei und quell-offen.
Bisher sind auch noch keine Sicherheits-relevanten Fehler aufgetreten.
Vielleicht doch noch mal drüber nachdenken und einfach mal probieren; es ist keine Installation nötig und die Eingabe der Zugangsdaten über die beiden Kanäle ist immer wieder schön anzuschauen.
Ich benutze seit sehr vielen Jahren mein Passwort. Dieses wird je nach Dienst mit entsprechenden Buchstaben versehen, die nach einem bestimmten Schema an verschiedene Stellen in mein Passwort eingefügt werden. Z. B. von Amazon A und n oder von Blau B und u.
So ein Passwort kann man sich z. B. bilden durch seinen Tagesablauf. Vom Aufwachen nur bis zum Frühstück hat man doch schon ein super Passwort. Beispiel: Die ersten Buchstaben groß und klein. Aufwachen, auf die Uhr, Wecker oder Handy sehen, wie spät es ist. Wobei z. B. 5:00 für Uhr, Wecker oder Handy stehen. Strecken, Aufstehen zur Toilette/Badezimmer gehen. Zähne putzen Waschen/Duschen, Anziehen. An ein paar Stellen mit Sonderzeichen versehen, z. B. @ für a, oder ! für i, und bevor man beim Frühstück sitzt hat man ein gutes Passwort.
Oder man macht sich aus den Orten und Straßen, Jahr und Monat, wo man gewohnt hat, ein Passwort. Dadurch hat man schon jede Menge Zahlen, die man einfügen kann. Lieblingsgedicht, Lieblingslied oder ein Buch bieten jede Menge Möglichkeiten.
Muss man sich natürlich erst mal mit befassen, und selbst bei mehr als 10 Passwörtern kein Problem. Und wer hat denn wirklich mehr als 10 Konten, wo man das braucht? Ich hab 9 und mein Kopf ist der beste Geheimnisträger, da brauch ich keine Firma, die für mich, vielleicht nicht mal sorgsam, meine Passwörter aufbewahrt. Aber vielleicht sind schon die ganzen Dienste, die den Leuten so viele Dinge abnehmen, wie z. B. Face ID oder Fingerprint, der Anfang zur „Verblödung“ und Faulheit. Hauptsache, nicht mehr selbstständig denken und was tun müssen. Dabei ist es doch so wichtig, dass man je älter man wird, im Kopf wenigstens „beweglich“ bleibt.
Und bis dahin können mich ruhig „Mitarbeiter“ von Microsoft anrufen, und mir erzählen, dass mein PC mit Viren infiziert wurde, und ich unbedingt die Dinge machen muss, die man mir am Telefon erzählt, damit mein PC wieder sicher ist. ;-)