Firefox浏览器密码管理机制安全性差 问题存在了10年

  【天极网网络频道】Facebook 爆发的疑似5000万数据泄露事件的研究人员发现，Firefox浏览器或Thunderbird的密码管理服务使用的加密技术强度不足，可能会被暴力破解，从而使得用户在登陆的网站及服务的密码曝光。

  一般情况下，当用户同意浏览器如Firefox包括电子邮箱、社交网站或网上银行等服务时，这些密码会以明文进行存储。而为了提高安全性，Firefox及邮件软件Thunderbird提供了主密码(Master Password)可用设定。当启用了这项功能，用户需要输入一个主要密码，而用户存储的所有密码，都会被以主密码加密后存储，以达到保护使用者密码的目的，防止电脑让他人窃取。

  不过AdBlock Plus扩展程序开发人员Wladimir Palant发现，Mozilla Firefox的主密码系统有加密强度不足的问题。他发现这段程序一个函数，可将随机的盐(salt)及用户主密码组成的字符串，运用SHA-1算法将密码转换成加密主钥。他指出，任何设计过网站登陆功能的人都能看得出这个显而易见的问题。

  Palant所指的问题在于，SHA-1函数的循环次数为1次，安全行业普遍认为1万次以上才够安全，而知名的密码管理服务LastPass则做到了10万次。Firebox、Thunderbird的加密强度相形之下十分薄弱。

  如今的GPU如此强大，以Nvidia GTX 1080显卡为例，每秒可做85亿次SHA-1杂凑计算，即85亿次的密码测试。人类平均密码强度仅40-bits，需暴力破解的话，需测试2的39次方次。用一块Nvidia显卡平均只要1分钟即可破解主密码，进而得到主密钥和所有网站密码。

  Bleeping Computer 引述Mozilla的bug tracker显示，9年前Master Password技术刚推出时，就有研究人员指出相同问题，也就是说这个问题持续了将近10年。

  在Palant通报Mozilla后，Mozilla已经解决，本周发布代号为Lockbox的新密码管理扩展程序。