La contraseña maestra de Firefox es vulnerable desde hace 9 años

La contraseña maestra de Firefox es vulnerable desde hace 9 años
19 de marzo, 2018

La contraseña maestra de Firefox, utilizada como opción de seguridad adicional en el navegador web o en el cliente de correo electrónico Thunderbird, es vulnerable desde hace 9 años.

La incidencia ha sido reportada por el investigador de seguridad y autor de la extensión AdBlock Plus, Wladimir Palant, pero la verdad es que el bug se conoce desde hace casi una década y tiene su base en el uso del algoritmo SHA-1, considerado inseguro ya que puede ser abordado con ataques de fuerza bruta.

La contraseña maestra de Firefox trabaja de manera similar a como lo hacen los administradores de contraseñas, LastPass1Password, protegiendo bajo una clave de cifrado todas las contraseñas que el usuario guarda en la aplicación en cuestión y facilitando su uso bajo una sola contraseña.

El problema, según Palant, es que la enorme capacidad de procesamiento de las GPUs actuales puede utilizarse en ataques de fuerza bruta contra la contraseña maestra y luego descifrar las contraseñas cifradas almacenadas dentro de las bases de datos de Firefox o Thunderbird. Como ejemplo, una GTX 1080 podría probar 8.500 millones de hashes SHA-1 por segundo. Dependerá del tamaño en bits de la contraseña promedio empleada, pero obviamente es un tema a resolver por esta GTX tardaría un minuto en descifrar una de pequeño tamaño.

El investigador recomienda el uso de la librería Argon2 en vez de SHA-1, mientras Mozilla explica que solucionará el problema con el nuevo gestor de contraseñas experimental Lockbox. Mientras tanto, el usuario preocupado de la situación puede considerar el uso de administradores de terceros. Obviamente, usar un gestor es mejor que no usar nada y en general, observar las recomendaciones ante el problema de nunca acabar que son las contraseñas, especialmente en su creación:

  • No usar palabras típicas o números comunes
  • Combinar mayúsculas y minúsculas
  • Combinar números con letras
  • Añadir caracteres especiales
  • Alargar el término con el mayor número de dígitos
  • No utilizar la misma contraseña para todos los sitios
  • Usar contraseñas específicas para banca on-line y sitios de compra on-line
  • Mantener la contraseña a salvo de cualquier tercero
  • Valorar el uso de gestores de contraseñas
  • Reforzar el uso de contraseñas con otros sistemas, doble autenticación o sistemas biométricos.
  • Share This