Web Analytics
Conecta con nosotros

Noticias

La contraseña maestra de Firefox es vulnerable desde hace 9 años

Publicado el
contraseña maestra Firefox

La contraseña maestra de Firefox, utilizada como opción de seguridad adicional en el navegador web o en el cliente de correo electrónico Thunderbird, es vulnerable desde hace 9 años.

La incidencia ha sido reportada por el investigador de seguridad y autor de la extensión AdBlock Plus, Wladimir Palant, pero la verdad es que el bug se conoce desde hace casi una década y tiene su base en el uso del algoritmo SHA-1, considerado inseguro ya que puede ser abordado con ataques de fuerza bruta.

La contraseña maestra de Firefox trabaja de manera similar a como lo hacen los administradores de contraseñas, LastPass1Password, protegiendo bajo una clave de cifrado todas las contraseñas que el usuario guarda en la aplicación en cuestión y facilitando su uso bajo una sola contraseña.

El problema, según Palant, es que la enorme capacidad de procesamiento de las GPUs actuales puede utilizarse en ataques de fuerza bruta contra la contraseña maestra y luego descifrar las contraseñas cifradas almacenadas dentro de las bases de datos de Firefox o Thunderbird. Como ejemplo, una GTX 1080 podría probar 8.500 millones de hashes SHA-1 por segundo. Dependerá del tamaño en bits de la contraseña promedio empleada, pero obviamente es un tema a resolver por esta GTX tardaría un minuto en descifrar una de pequeño tamaño.

El investigador recomienda el uso de la librería Argon2 en vez de SHA-1, mientras Mozilla explica que solucionará el problema con el nuevo gestor de contraseñas experimental Lockbox. Mientras tanto, el usuario preocupado de la situación puede considerar el uso de administradores de terceros. Obviamente, usar un gestor es mejor que no usar nada y en general, observar las recomendaciones ante el problema de nunca acabar que son las contraseñas, especialmente en su creación:

  • No usar palabras típicas o números comunes
  • Combinar mayúsculas y minúsculas
  • Combinar números con letras
  • Añadir caracteres especiales
  • Alargar el término con el mayor número de dígitos
  • No utilizar la misma contraseña para todos los sitios
  • Usar contraseñas específicas para banca on-line y sitios de compra on-line
  • Mantener la contraseña a salvo de cualquier tercero
  • Valorar el uso de gestores de contraseñas
  • Reforzar el uso de contraseñas con otros sistemas, doble autenticación o sistemas biométricos.

6 comentarios
  • DanielM

    No es una vulnerabilidad como tal,es un descuido o fallo de diseño, en lugar de usar un hash como un sitio web se deberia usar una KDF ya que un atacante podria obtener los datos del navegador localmente y atacarlos con todo el poder de computo que quiera a diferencia de un sitio web.

  • Álvaro Lázaro Laín

    Cada vez peor; ahora resulta que lo que hemos venido utilizando desde hace tiempo, como Intel, AMD ó Firefox (seguro que a estos les seguirán otros) son vulnerables y lleno de fallos críticos. No sé ya cómo será el futuro.

  • MaximoGeek

    Poooota y ahora recién me entero…..

  • Albert

    El programa perfecto nunca existirá, estamos a años luz. Hacer un programa tipo app de escritorio es practicamente imposible hacerlo perfecto a la primera. Es que ni con un ejército de ingenierios. Es ley de vida q a la larga un programa pete por algún lado ya que programar todas las casuísticas que se puedan dar es casi imposible a corto plazo. Esto es como las leyes siempre habrá alguien que se aproveche de los vacíos legales. Pues esto es lo mismo pero con la suerte de parchearlo rapidamente. Asi q por favor no critiquéis tanto y dar las gracias por ir descubriendo bugs y ir solventándolos para algún día tener ese sistema perfecto.

  • Vamos mal Mozilla, vamos mal. Espero no me decepcionen de nuevo.

  • En el caso de Firefox es cuestión de cambiar el algoritmo, aunque no explican si para atacar por fuerza bruta se necesita acceso al computador o se puede hacer remotamente, ya que si no es lo segundo, no es un fallo crítico pero no deja de ser vulnerabilidad.

Top 5 Cupones

Lo más leído