Старый баг Firefox, обнаруженный ещё 9 лет назад, позволяет воровать пароли
![Старый баг Firefox, обнаруженный ещё 9 лет назад, позволяет воровать пароли](https://trashbox.ru/files/936926_b9622a/maos_firefox.jpg)
Firefox и Thunderbird позволяют пользователям устанавливать мастер-пароль для дополнительной безопасности. Как оказалось, в данной функции в течение длительного периода времени применялся алгоритм криптографического хеширования SHA1, механизм шифрования которого легко поддаётся взлому.
![Старый баг Firefox, обнаруженный ещё 9 лет назад, позволяет воровать пароли](https://trashbox.ru/files/936921_520d7c/ff-master-password.png_min.jpg)
Уязвимость обнаружил Владимир Палант (Wladimir Palant), автор расширения AdBlock Plus для блокировки рекламы в браузерах. Самое интересное, что недостаток уже давнишний, впервые о нём заявили 9 лет (!) назад. Однако за это время разработчики Firefox так и не исправили ошибку.
«Я заглянул в исходный код и нашёл функцию sftkdb_passwordToKey (), которая преобразует пароль [веб-сайта] в ключ шифрования, применяя хеширование SHA-1 к строке, состоящей из фактического мастер-пароля и случайных символов», — написал в своём блоге Владимир Палант.Проблема заключается в том, что счётчик цикла SHA-1 равен единице, то есть функция применяется один раз. Обычно счётчик цикла составляет 10 тыс. или больше, например, в LastPass он равен 100 тыс. Это позволяет хакерам и злоумышленникам легко расшифровать мастер-пароль и получить доступ ко всем сохранённым пользовательским паролям. По словам Паланта, видеокарта GTX 1080 способна посчитать 8,5 млн хешей SHA1 за одну секунду.
В данный момент проблема остаётся актуальной, как и тема, которую вновь поднял разработчик на официальном форуме Mozilla по обнаруженным багам. Представители компании заверили, что в скором времени выпустят новый инструмент для мастер-пароля в браузере под названием Lockbox. А пока пользователям стоит придумать более длинный пароль. Так, на всякий случай.