天极传媒:
天极网
比特网
IT专家网
52PK游戏网
极客修
全国分站

北京上海广州深港南京福建沈阳成都杭州西安长春重庆大庆合肥惠州青岛郑州泰州厦门淄博天津无锡哈尔滨

产品
  • 网页
  • 产品
  • 图片
  • 报价
  • 下载
全高清投影机 净化器 4K电视曲面电视小家电滚筒洗衣机
您现在的位置: 天极网 > 网络 > 互联网>新闻>Firefox浏览器密码管理机制安全性差

Firefox浏览器密码管理机制安全性差 问题存在了10年

Yesky软件频道 2018. 03. 21 作者:嘉文 责编:嘉文
我要吐槽

责任编辑

  【天极网网络频道】Facebook 爆发的疑似5000万数据泄露事件的研究人员发现,Firefox浏览器或Thunderbird的密码管理服务使用的加密技术强度不足,可能会被暴力破解,从而使得用户在登陆的网站及服务的密码曝光。

  一般情况下,当用户同意浏览器如Firefox包括电子邮箱、社交网站或网上银行等服务时,这些密码会以明文进行存储。而为了提高安全性,Firefox及邮件软件Thunderbird提供了主密码(Master Password)可用设定。当启用了这项功能,用户需要输入一个主要密码,而用户存储的所有密码,都会被以主密码加密后存储,以达到保护使用者密码的目的,防止电脑让他人窃取。

  不过AdBlock Plus扩展程序开发人员Wladimir Palant发现,Mozilla Firefox的主密码系统有加密强度不足的问题。他发现这段程序一个函数,可将随机的盐(salt)及用户主密码组成的字符串,运用SHA-1算法将密码转换成加密主钥。他指出,任何设计过网站登陆功能的人都能看得出这个显而易见的问题。

  Palant所指的问题在于,SHA-1函数的循环次数为1次,安全行业普遍认为1万次以上才够安全,而知名的密码管理服务LastPass则做到了10万次。Firebox、Thunderbird的加密强度相形之下十分薄弱。

  如今的GPU如此强大,以Nvidia GTX 1080显卡为例,每秒可做85亿次SHA-1杂凑计算,即85亿次的密码测试。人类平均密码强度仅40-bits,需暴力破解的话,需测试2的39次方次。用一块Nvidia显卡平均只要1分钟即可破解主密码,进而得到主密钥和所有网站密码。

  Bleeping Computer 引述Mozilla的bug tracker显示,9年前Master Password技术刚推出时,就有研究人员指出相同问题,也就是说这个问题持续了将近10年。

  在Palant通报Mozilla后,Mozilla已经解决,本周发布代号为Lockbox的新密码管理扩展程序。

作者:嘉文责任编辑:嘉文)
请关注天极网天极新媒体 最酷科技资讯
扫码赢大奖
评论
* 网友发言均非本站立场,本站不在评论栏推荐任何网店、经销商,谨防上当受骗!
DIY整机企业级软件