Categories: BrowserWorkspace

AdBlock-Plus-Entwickler macht Passwort-Fehler in Firefox öffentlich

Wladimir Palant, Entwickler der Browsererweiterung AdBlock Plus, hat eine Schwachstelle im Passwort-Manager des Mozilla-Browsers Firefox entdeckt. Seiner Analyse zufolge wird das Master-Passwort nur mit einem einzigen SHA-1-Durchgang und einem zufälligen Salt-Wert verschlüsselt. Ein einziger Durchgang sei bei SHA-1 zur Abwehr von Brute-Force-Angriffen allerdings viel zu wenig – es seien stattdessen „mindestens 100.000 Wiederholungen“ erforderlich.

Seine Behauptung stützt er mit der Leistungsfähigkeit moderner Grafikarten. „Das Problem ist: GPUs sind sehr gut darin, SHA-1-Hashes zu errechnen. Eine einzelne Grafikkarte vom Typ Nvidia GTX 1080 kann 8,5 Milliarden Hashes pro Sekunde berechnen. Das bedeutet, dass 8,5 Milliarden Passwörter pro Sekunde getestet werden können.“ Durchschnittlich sei folglich ein Passwort mit einer Länge von 40 Bit in etwa einer Minute geknackt.

Bei seinen Berechnungen stützt sich Palant auf eine Studie von Microsoft, die allerdings schon elf Jahre alt ist. Demnach haben Passwörter eine durchschnittliche Länge von 40 Bits, was laut Neowin fünf ASCII-Zeichen entspricht. Auf Nachfrage des Blogs erklärte der Entwickler, dass längere Passwörter in dem Fall eigentlich nur eine „Unbequemlichkeit“ für den Nutzer seien, aber die Sicherheit nicht spürbar verbesserten.

Nutzer, die sich auf den in Firefox integrierten Passwort-Manager verlassen, profitieren auch von einer Synchronisation ihrer Kennwörter über ihr Firefox-Konto. Ähnliche Funktionen bieten selbstverständlich auch Lösungen anderer Anbieter, die derzeit möglicherweise die bessere Alternative zum Passwort-Manager von Mozilla sind.

Bleeping Computer weist darauf hin, dass der Fehler bereits vor neun Jahren durch den Nutzer Justin Dolske an Mozilla gemeldet wurde – ohne dass die Entwickler darauf reagierten. Zu dem von Palant reaktivierten Fehlerbericht liegt jedoch inzwischen eine offizielle Antwort vor. Demnach soll der Passwort-Manager überarbeitet werden. Die neue Lösung mit dem Codenamen Lockbox liegt derzeit als Erweiterung vor. Sie soll bis zu einer Million Wiederholungen für die Verschlüsselung des Master-Passworts nutzen.

Von dem Problem betroffen sind nur Nutzer, die ihre in Firefox hinterlegten Kennwörter mit einem Master-Passwort schützen, das allerdings optional ist und nicht automatisch eingerichtet werden muss. Es verhindert, dass Unbefugte auf die im Browser gespeicherten Passwörter zugreifen können. In erster Linie sollte sich der Bug also nur durch Dritte mit physischem Zugriff auf den Browser ausnutzen lassen.

Tipp:: Wie gut kennen Sie Firefox? Überprüfen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Firefox 131 führt temporäre Website-Berechtigungen ein

Sie verfallen spätestens nach einer Stunde. Firefox 131 enthält zudem Fixes für 13 Anfälligkeiten, die…

2 Tagen ago

Malware-Kampagne gefährdet Smartphones und Bankkonten

Mobile Malware-Kampagne richtet sich gezielt gegen Banking-Apps.

2 Tagen ago

Microsoft räumt Probleme mit Update für Windows 11 ein

Betroffen ist das Update KB5043145 für Windows 11 23H2 und 22H2. Es löst unter Umständen…

2 Tagen ago

Beispielcode für Zero-Day-Lücke in Windows veröffentlicht

Sie erlaubt eine nicht autorisierte Ausweitung von Benutzerrechten. Microsoft stuft die Anfälligkeit bisher nicht als…

3 Tagen ago

Sprunghafter Anstieg von mobilen Phishing-Attacken auf Unternehmen

Bedrohungsakteure verfolgen eine „Mobile-First“-Strategie. 82 Prozent der Phishing-Websites sind für mobile Geräte optimiert.

3 Tagen ago

Erstes IBM Quantum Data Center in Europa eröffnet

Neues Rechenzentrum wird ein auf IBM Quantum Heron basierendes System mit 25-mal schnelleren Rechengeschwindigkeit gegenüber…

3 Tagen ago