AdBlock-Plus-Entwickler macht Passwort-Fehler in Firefox öffentlich

Wladimir Palant, Entwickler der Browsererweiterung AdBlock Plus, hat eine Schwachstelle im Passwort-Manager des Mozilla-Browsers Firefox entdeckt. Seiner Analyse zufolge wird das Master-Passwort nur mit einem einzigen SHA-1-Durchgang und einem zufälligen Salt-Wert verschlüsselt. Ein einziger Durchgang sei bei SHA-1 zur Abwehr von Brute-Force-Angriffen allerdings viel zu wenig – es seien stattdessen „mindestens 100.000 Wiederholungen“ erforderlich.

Seine Behauptung stützt er mit der Leistungsfähigkeit moderner Grafikarten. „Das Problem ist: GPUs sind sehr gut darin, SHA-1-Hashes zu errechnen. Eine einzelne Grafikkarte vom Typ Nvidia GTX 1080 kann 8,5 Milliarden Hashes pro Sekunde berechnen. Das bedeutet, dass 8,5 Milliarden Passwörter pro Sekunde getestet werden können.“ Durchschnittlich sei folglich ein Passwort mit einer Länge von 40 Bit in etwa einer Minute geknackt.

Bei seinen Berechnungen stützt sich Palant auf eine Studie von Microsoft, die allerdings schon elf Jahre alt ist. Demnach haben Passwörter eine durchschnittliche Länge von 40 Bits, was laut Neowin fünf ASCII-Zeichen entspricht. Auf Nachfrage des Blogs erklärte der Entwickler, dass längere Passwörter in dem Fall eigentlich nur eine „Unbequemlichkeit“ für den Nutzer seien, aber die Sicherheit nicht spürbar verbesserten.

Nutzer, die sich auf den in Firefox integrierten Passwort-Manager verlassen, profitieren auch von einer Synchronisation ihrer Kennwörter über ihr Firefox-Konto. Ähnliche Funktionen bieten selbstverständlich auch Lösungen anderer Anbieter, die derzeit möglicherweise die bessere Alternative zum Passwort-Manager von Mozilla sind.

Bleeping Computer weist darauf hin, dass der Fehler bereits vor neun Jahren durch den Nutzer Justin Dolske an Mozilla gemeldet wurde – ohne dass die Entwickler darauf reagierten. Zu dem von Palant reaktivierten Fehlerbericht liegt jedoch inzwischen eine offizielle Antwort vor. Demnach soll der Passwort-Manager überarbeitet werden. Die neue Lösung mit dem Codenamen Lockbox liegt derzeit als Erweiterung vor. Sie soll bis zu einer Million Wiederholungen für die Verschlüsselung des Master-Passworts nutzen.

Von dem Problem betroffen sind nur Nutzer, die ihre in Firefox hinterlegten Kennwörter mit einem Master-Passwort schützen, das allerdings optional ist und nicht automatisch eingerichtet werden muss. Es verhindert, dass Unbefugte auf die im Browser gespeicherten Passwörter zugreifen können. In erster Linie sollte sich der Bug also nur durch Dritte mit physischem Zugriff auf den Browser ausnutzen lassen.

Tipp:: Wie gut kennen Sie Firefox? Überprüfen Sie Ihr Wissen – mit dem Quiz auf silicon.de.