Categories: BrowserWorkspace

AdBlock-Plus-Entwickler macht Passwort-Fehler in Firefox öffentlich

Wladimir Palant, Entwickler der Browsererweiterung AdBlock Plus, hat eine Schwachstelle im Passwort-Manager des Mozilla-Browsers Firefox entdeckt. Seiner Analyse zufolge wird das Master-Passwort nur mit einem einzigen SHA-1-Durchgang und einem zufälligen Salt-Wert verschlüsselt. Ein einziger Durchgang sei bei SHA-1 zur Abwehr von Brute-Force-Angriffen allerdings viel zu wenig – es seien stattdessen „mindestens 100.000 Wiederholungen“ erforderlich.

Seine Behauptung stützt er mit der Leistungsfähigkeit moderner Grafikarten. „Das Problem ist: GPUs sind sehr gut darin, SHA-1-Hashes zu errechnen. Eine einzelne Grafikkarte vom Typ Nvidia GTX 1080 kann 8,5 Milliarden Hashes pro Sekunde berechnen. Das bedeutet, dass 8,5 Milliarden Passwörter pro Sekunde getestet werden können.“ Durchschnittlich sei folglich ein Passwort mit einer Länge von 40 Bit in etwa einer Minute geknackt.

Bei seinen Berechnungen stützt sich Palant auf eine Studie von Microsoft, die allerdings schon elf Jahre alt ist. Demnach haben Passwörter eine durchschnittliche Länge von 40 Bits, was laut Neowin fünf ASCII-Zeichen entspricht. Auf Nachfrage des Blogs erklärte der Entwickler, dass längere Passwörter in dem Fall eigentlich nur eine „Unbequemlichkeit“ für den Nutzer seien, aber die Sicherheit nicht spürbar verbesserten.

Nutzer, die sich auf den in Firefox integrierten Passwort-Manager verlassen, profitieren auch von einer Synchronisation ihrer Kennwörter über ihr Firefox-Konto. Ähnliche Funktionen bieten selbstverständlich auch Lösungen anderer Anbieter, die derzeit möglicherweise die bessere Alternative zum Passwort-Manager von Mozilla sind.

Bleeping Computer weist darauf hin, dass der Fehler bereits vor neun Jahren durch den Nutzer Justin Dolske an Mozilla gemeldet wurde – ohne dass die Entwickler darauf reagierten. Zu dem von Palant reaktivierten Fehlerbericht liegt jedoch inzwischen eine offizielle Antwort vor. Demnach soll der Passwort-Manager überarbeitet werden. Die neue Lösung mit dem Codenamen Lockbox liegt derzeit als Erweiterung vor. Sie soll bis zu einer Million Wiederholungen für die Verschlüsselung des Master-Passworts nutzen.

Von dem Problem betroffen sind nur Nutzer, die ihre in Firefox hinterlegten Kennwörter mit einem Master-Passwort schützen, das allerdings optional ist und nicht automatisch eingerichtet werden muss. Es verhindert, dass Unbefugte auf die im Browser gespeicherten Passwörter zugreifen können. In erster Linie sollte sich der Bug also nur durch Dritte mit physischem Zugriff auf den Browser ausnutzen lassen.

Tipp:: Wie gut kennen Sie Firefox? Überprüfen Sie Ihr Wissen – mit dem Quiz auf silicon.de.

HIGHLIGHT

Report: State of Digital Transformation EMEA 2019

Zu den größten Hürden der digitalen Transformation zählen der mobile Zugriff auf Unternehmensdaten und Anwendungen, die Nutzung unsicherer Netzwerke und nicht verwalteter Geräte. Das geht aus dem Report „State of Digital Transformation EMEA 2019“ von Zscaler hervor. Jetzt den vollständigen Report herunterladen!

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

11 Stunden ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

15 Stunden ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

16 Stunden ago

Lags beim Online-Gaming? DSL-Vergleich und andere Tipps schaffen Abhilfe

Beim Online-Gaming kommt es nicht nur auf das eigene Können an. Auch die technischen Voraussetzungen…

16 Stunden ago

GenKI-Fortbildung immer noch Mangelware

Fast jedes zweite Unternehmen bietet keinerlei Schulungen an. In den übrigen Betrieben profitieren oft nur…

16 Stunden ago

Netzwerk-Portfolio für das KI-Zeitalter

Huawei stellt auf der Connect Europe 2024 in Paris mit Xinghe Intelligent Network eine erweiterte…

18 Stunden ago