Noticias
La contraseña maestra de Firefox es vulnerable desde hace 9 años
La contraseña maestra de Firefox, utilizada como opción de seguridad adicional en el navegador web o en el cliente de correo electrónico Thunderbird, es vulnerable desde hace 9 años.
La incidencia ha sido reportada por el investigador de seguridad y autor de la extensión AdBlock Plus, Wladimir Palant, pero la verdad es que el bug se conoce desde hace casi una década y tiene su base en el uso del algoritmo SHA-1, considerado inseguro ya que puede ser abordado con ataques de fuerza bruta.
La contraseña maestra de Firefox trabaja de manera similar a como lo hacen los administradores de contraseñas, LastPass o 1Password, protegiendo bajo una clave de cifrado todas las contraseñas que el usuario guarda en la aplicación en cuestión y facilitando su uso bajo una sola contraseña.
El problema, según Palant, es que la enorme capacidad de procesamiento de las GPUs actuales puede utilizarse en ataques de fuerza bruta contra la contraseña maestra y luego descifrar las contraseñas cifradas almacenadas dentro de las bases de datos de Firefox o Thunderbird. Como ejemplo, una GTX 1080 podría probar 8.500 millones de hashes SHA-1 por segundo. Dependerá del tamaño en bits de la contraseña promedio empleada, pero obviamente es un tema a resolver por esta GTX tardaría un minuto en descifrar una de pequeño tamaño.
El investigador recomienda el uso de la librería Argon2 en vez de SHA-1, mientras Mozilla explica que solucionará el problema con el nuevo gestor de contraseñas experimental Lockbox. Mientras tanto, el usuario preocupado de la situación puede considerar el uso de administradores de terceros. Obviamente, usar un gestor es mejor que no usar nada y en general, observar las recomendaciones ante el problema de nunca acabar que son las contraseñas, especialmente en su creación:
- No usar palabras típicas o números comunes
- Combinar mayúsculas y minúsculas
- Combinar números con letras
- Añadir caracteres especiales
- Alargar el término con el mayor número de dígitos
- No utilizar la misma contraseña para todos los sitios
- Usar contraseñas específicas para banca on-line y sitios de compra on-line
- Mantener la contraseña a salvo de cualquier tercero
- Valorar el uso de gestores de contraseñas
- Reforzar el uso de contraseñas con otros sistemas, doble autenticación o sistemas biométricos.
Max revela sus precios para España
Se filtran imágenes del Google Pixel 9 Pro
Elgato Neo, una nueva familia para todos
Elon Musk pregunta por traer de vuelta a Vine y la respuesta es la esperada
Cómo instalar el soporte multimedia en Ubuntu, Linux Mint, Fedora y Flatpak
Nueva entrega de ofertas Red Friday con los mejores descuentos
Requisitos de Ghost of Tsushima, llegará a PC el 16 de mayo con DLSS 3 y FSR 3
Fin de ADSL, ¿qué alternativas tienes?
Novedades VOD 15/24: ‘Fallout’, pulgares arriba
ASUS ROG Zephyrus G14 2024, análisis
¿Merece la pena el 5G? Cómo probar el rendimiento de una conexión a Internet
Todos los juegos de la franquicia Fallout ordenados de mejor a peor
Max revela sus precios para España
Novedades VOD 15/24: ‘Fallout’, pulgares arriba
Cómo desactivar «Ok Google» en Android TV
Juegos gratis y ofertas: Ghostrunner, Sky: Niños de la Luz, Fallout…
Microsoft quiere colarlo en el menú de inicio de Windows 11, pero ¿son anuncios o recomendaciones?
