一位安全研究人員發(fā)現(xiàn),過去九年來,火狐瀏覽器一直在用過時的方案保護用戶的密碼。只需要1分鐘,現(xiàn)在的GPU就可以攻破該保護方案。

開發(fā)者表示火狐瀏覽器密碼保護機制太弱

據(jù)稱,Mozilla旗下的火狐瀏覽器和Thunderbird郵件客戶端會讓用戶設(shè)置一個主密碼,以提高用戶數(shù)據(jù)的安全性。但是該密碼一直使用SHA1加密,極易遭到破解。

有意思的是,早在9年前,這一漏洞就被開發(fā)者發(fā)現(xiàn)并提出。但是該漏洞一直未得到解決。

“我查看了源代碼,發(fā)現(xiàn)了sftkdb_passwordToKey()函數(shù)。它應(yīng)用了SHA-1哈希加密算法,將用戶的真實密碼加隨機鹽組成的字符串加密,形成密鑰。”這名開發(fā)者表示,“任何在網(wǎng)頁上設(shè)計過登錄功能的人,都會意識到其中的危險。”

為了更好地說明該問題,這名開發(fā)者還翻出了他九年前的錯誤報告。對此,Mozilla表示,他們不久就將推出新的密碼管理器Lockbox,屆時該問題將得到解決。Mozilla告訴用戶,他們可以通過設(shè)置更長、更復雜的主密碼,以提高安全性。