Desde que foi introduzida a palavra-chave mestra que a segurança dos dados dos utilizadores Firefox foi aumentada. Até essa altura as passwords eram guardadas no browser sem qualquer proteção ou cifra.
O problema de segurança do Firefox
O que se descobriu agora vem contrariar esta ideia, revelado que a palavra-chave mestra não traz assim tanta segurança. De acordo com o que foi revelado, é usada uma função sftkdb_passwordToKey(), que converte uma password numa chave de criptografia pela aplicação de uma hash SHA-1 a uma string que consiste num valor aleatório e na palavra-chave mestra.
O problema está no facto da função SHA-1 ser usada apenas 1 vez, enquanto o padrão da indústria referir que deve ser usada pelo menos 10 mil vezes seguidas. Aplicações como o LastPass usam valores de 100 mil.
Esta baixa interação torna muito simples a um atacante fazer um ataque de força bruta à palavra-chave mestra e posteriormente ter acesso às passwords guardadas no Firefox.
Com as mais recentes GPUs e as suas capacidades computacionais, este ataque de força bruta pode acontecer em apenas alguns minutos.
A solução pode estar perto de chegar
A Mozilla já está ciente do problema e até tem uma solução que já pode ser usada. O Lockbox, uma extensão criada para ser um gestor de passwords, irá em breve ser incluído no Firefox, garantindo uma muito maior segurança deste browser.
Um problema que existe há 9 anos
Apesar de ter voltado agora, esta falha já tinha sido reportada há 9 anos, tendo na altura a Mozilla ignorado o problema e não tendo tomado qualquer atitude.
Mesmo sendo um problema grave e sem uma solução imediata, é recomendado que seja mantida a utilização da palavra-chave mestra. O que pode e deve ser feito é a definição de uma nova, com mais caracteres e assim, uma maior segurança.