Firefox siempre ha sido una de las opciones más apreciadas de los internautas para las explorar Internet. A lo largo de los años ha evolucionado en varios frentes, siempre buscando ser un navegador mejor.
Una revelación hecha ahora ha venido a alertar de un problema grave de seguridad, que puede comprometer las contraseñas guardadas en este navegador. El problema mayor es que este fallo existe desde hace por lo menos 9 años.
De acuerdo con lo que se ha revelado, se utiliza una función sftkdb_passwordToKey (), que convierte una contraseña en una clave criptográfica por la aplicación de un hash SHA-1 a una cadena que consiste en un valor aleatorio y en la palabra clave principal.
El problema es que la función SHA-1 se utiliza sólo una vez, mientras que el estándar de la industria indica que se debe utilizar al menos 10 mil veces seguidas. Las aplicaciones como LastPass utilizan valores de 100 mil.
Esta baja interacción hace muy simple a un atacante hacer un ataque de fuerza bruta a la palabra clave maestra y posteriormente tener acceso a las contraseñas guardadas en Firefox.
Mozilla ya es consciente del problema y hasta tiene una solución que ya puede ser usada. El Lockbox , una extensión diseñada para ser un administrador de contraseñas, que pronto será incluido en Firefox, lo que garantiza una mayor seguridad de este navegador.
Una revelación hecha ahora ha venido a alertar de un problema grave de seguridad, que puede comprometer las contraseñas guardadas en este navegador. El problema mayor es que este fallo existe desde hace por lo menos 9 años.
De acuerdo con lo que se ha revelado, se utiliza una función sftkdb_passwordToKey (), que convierte una contraseña en una clave criptográfica por la aplicación de un hash SHA-1 a una cadena que consiste en un valor aleatorio y en la palabra clave principal.
El problema es que la función SHA-1 se utiliza sólo una vez, mientras que el estándar de la industria indica que se debe utilizar al menos 10 mil veces seguidas. Las aplicaciones como LastPass utilizan valores de 100 mil.
Esta baja interacción hace muy simple a un atacante hacer un ataque de fuerza bruta a la palabra clave maestra y posteriormente tener acceso a las contraseñas guardadas en Firefox.
Mozilla ya es consciente del problema y hasta tiene una solución que ya puede ser usada. El Lockbox , una extensión diseñada para ser un administrador de contraseñas, que pronto será incluido en Firefox, lo que garantiza una mayor seguridad de este navegador.