Categories: BrowserWorkspace

AdBlock-Plus-Entwickler macht Passwort-Fehler in Firefox öffentlich

Wladimir Palant, Entwickler der Browsererweiterung AdBlock Plus, hat eine Schwachstelle im Passwort-Manager des Mozilla-Browsers Firefox entdeckt. Seiner Analyse zufolge wird das Master-Passwort nur mit einem einzigen SHA-1-Durchgang und einem zufälligen Salt-Wert verschlüsselt. Ein einziger Durchgang sei bei SHA-1 zur Abwehr von Brute-Force-Angriffen allerdings viel zu wenig – es seien stattdessen „mindestens 100.000 Wiederholungen“ erforderlich.

Seine Behauptung stützt er mit der Leistungsfähigkeit moderner Grafikarten. „Das Problem ist: GPUs sind sehr gut darin, SHA-1-Hashes zu errechnen. Eine einzelne Grafikkarte vom Typ Nvidia GTX 1080 kann 8,5 Milliarden Hashes pro Sekunde berechnen. Das bedeutet, dass 8,5 Milliarden Passwörter pro Sekunde getestet werden können.“ Durchschnittlich sei folglich ein Passwort mit einer Länge von 40 Bit in etwa einer Minute geknackt.

Bei seinen Berechnungen stützt sich Palant auf eine Studie von Microsoft, die allerdings schon elf Jahre alt ist. Demnach haben Passwörter eine durchschnittliche Länge von 40 Bits, was laut Neowin fünf ASCII-Zeichen entspricht. Auf Nachfrage des Blogs erklärte der Entwickler, dass längere Passwörter in dem Fall eigentlich nur eine „Unbequemlichkeit“ für den Nutzer seien, aber die Sicherheit nicht spürbar verbesserten.

Nutzer, die sich auf den in Firefox integrierten Passwort-Manager verlassen, profitieren auch von einer Synchronisation ihrer Kennwörter über ihr Firefox-Konto. Ähnliche Funktionen bieten selbstverständlich auch Lösungen anderer Anbieter, die derzeit möglicherweise die bessere Alternative zum Passwort-Manager von Mozilla sind.

Bleeping Computer weist darauf hin, dass der Fehler bereits vor neun Jahren durch den Nutzer Justin Dolske an Mozilla gemeldet wurde – ohne dass die Entwickler darauf reagierten. Zu dem von Palant reaktivierten Fehlerbericht liegt jedoch inzwischen eine offizielle Antwort vor. Demnach soll der Passwort-Manager überarbeitet werden. Die neue Lösung mit dem Codenamen Lockbox liegt derzeit als Erweiterung vor. Sie soll bis zu einer Million Wiederholungen für die Verschlüsselung des Master-Passworts nutzen.

Von dem Problem betroffen sind nur Nutzer, die ihre in Firefox hinterlegten Kennwörter mit einem Master-Passwort schützen, das allerdings optional ist und nicht automatisch eingerichtet werden muss. Es verhindert, dass Unbefugte auf die im Browser gespeicherten Passwörter zugreifen können. In erster Linie sollte sich der Bug also nur durch Dritte mit physischem Zugriff auf den Browser ausnutzen lassen.

Tipp:: Wie gut kennen Sie Firefox? Überprüfen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

13 Stunden ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

15 Stunden ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

16 Stunden ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

19 Stunden ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

19 Stunden ago

Latrodectus: Gefährlicher Nachfolger von IcedID

Latrodectus, auch bekannt als BlackWidow, ist auch unter dem Namen LUNAR SPIDER bekannt.

20 Stunden ago