Firefox versleutelde wachtwoorden met verouderde techniek

Abonneer je gratis op Techzine!

Een veiligheidsonderzoeker heeft ontdekt dat Firefox de afgelopen jaren opgeslagen wachtwoorden bepaald niet goed beveiligd heeft. Gebruikers kunnen indien gewenst een ‘master password’ opzetten. Met behulp van dat wachtwoord kunnen alle andere opgeslagen inlogcodes ingezien worden. Maar dat wachtwoord werd niet bepaald goed beveiligd.

Onderzoeker Wladimir Palant ontdekte dat Firefox gebruik maakt van SHA1 voor de versleuteling van het wachtwoord. Dat is een verouderde techniek, die in 2005 uitgebracht werd door de NSA en in de loop van 2010 uitgefaseerd. Het kraken van versleutelde code kost een moderne CPU hooguit een minuut.

Matige beveiliging

“Ik bekeek de broncode,” stelt Palant in een blog. “Uiteindelijk ontdekte ik dat de sftkdb_passwordToKey() functie die een wachtwoord van een website versleuteld, gebruik maakt van SHA1 hashing. De string die daarbij ontstaat, bestaat uit een willekeurige reeks, gecombineerd met je daadwerkelijke master password. Iedereen die ooit een login-functie ontwikkeld heeft voor een website, zal hierin een rode vlag zien.”

Opmerkelijk genoeg is op de site van Mozilla een post te zien waarin een Justin Doslke negen jaar geleden dezelfde fout meldt. Daar is nooit iets mee gebeurd, maar nu heeft Palant hem nog eens omhoog gegooid en een reactie gekregen van Mozilla. Dat laat weten dat het probleem snel opgelost zal worden, zodra de nieuwe wachtwoordmanager Lockbox, uitgerold wordt.

In de tussentijd raadt Mozilla gebruikers aan om een langer en complexer master password aan te maken, zodat hun wachtwoorden goed genoeg beveiligd zijn.