Proponha uma correção, faça uma sugestão
Firefox tem falha grave de segurança na gestão de passwords
O Firefox sempre foi uma das escolhas dos internautas para as navegações na Internet. Ao longo dos anos tem evoluído em várias frentes, sempre procurando ser um browser melhor.
Uma revelação feita agora veio alertar para um problema grave de segurança, que pode comprometer as passwords guardadas neste browser. O problema maior é que esta falha existe há, pelo menos, 9 anos.
Desde que foi introduzida a palavra-chave mestra, que a segurança dos dados dos utilizadores Firefox foi aumentada. Até essa altura as passwords eram guardadas no browser sem qualquer proteção ou cifra.
O problema de segurança do Firefox
O que se descobriu agora vem contrariar esta ideia, revelado que a palavra-chave mestra não traz assim tanta segurança. De acordo com o que foi revelado, é usada uma função sftkdb_passwordToKey(), que converte uma password numa chave de criptografia pela aplicação de uma hash SHA-1 a uma string que consiste num valor aleatório e na palavra-chave mestra.
O problema está no facto da função SHA-1 ser usada apenas 1 vez, enquanto o padrão da indústria referir que deve ser usada pelo menos 10 mil vezes seguidas. Aplicações como o LastPass usam valores de 100 mil.
Esta baixa interação torna muito simples a um atacante fazer um ataque de força bruta à palavra-chave mestra e posteriormente ter acesso às passwords guardadas no Firefox.
Com as mais recentes GPUs e as suas capacidades computacionais, este ataque de força bruta pode acontecer em apenas alguns minutos.
A solução pode estar perto de chegar
A Mozilla já está ciente do problema e até tem uma solução que já pode ser usada. O Lockbox, uma extensão criada para ser um gestor de passwords, irá em breve ser incluído no Firefox, garantindo uma muito maior segurança deste browser.
Um problema que existe há 9 anos
Apesar de ter voltado agora, esta falha já tinha sido reportada há 9 anos, tendo na altura a Mozilla ignorado o problema e não tendo tomado qualquer atitude.
Mesmo sendo um problema grave e sem uma solução imediata, é recomendado que seja mantida a utilização da palavra-chave mestra. O que pode e deve ser feito é a definição de uma nova, com mais caracteres e assim, uma maior segurança.
Este artigo tem mais de um ano
Loading ...
depende do tamanho da chave tb. boa sorte em crakar uma coisa grande mesmo em que sha1.
anyway, fixed.
“Mesmo sendo um problema grave e sem uma solução imediata, é recomendado que seja mantida a utilização da palavra-chave mestra.”
É recomendado?! Como assim é recomendado?! Se é uma falha grave que pode comprometer TODAS as palavras-chave do utilizador, não seria antes melhor recomendar memorizar as palavras-chave num sítio cada vez menos utilizado pela raça humana e que se chama cérebro? 😛
Ou usar um serviço do tipo lastpass ou mesmo usando keepass. Agora guardar senhas num browser nunca foi, nem nunca será boa ideia.
+1
Foi-me dito por uma pessoa que trabalha em segurança informática (não sei qual o nome oficial dessa posição) que usa o Keepass.
Consegues guardar as tuas passwords no cérebro? Então são mesmo fraquinhas… Tipo 12345, não? Cumps.
As novas gerações é que “desaprenderam” a usar o cérebro. Eu tenho memorizado mais de 40 passwords, e todas elas bem complexas. Claro que às vezes me engano a digitá-las tal é a complexidade, mas nunca perdi acesso a um serviço ou necessitei de as anotar. Os putos de agora sequer memorizam o NIF, o Nº de Identificação Civil ou a matrícula do automóvel. Nem sei como ainda sabem a data de nascimento. Anda tudo alienado.
Até uma password do tipo 12345 pode ser complicada se não a usarmos frequentemente…
A mais pequena que uso tem 32 dígitos. Lá por teres um cérebro de peixinho não quer dizer que o resto da população terrestre também tenha um.
Mais ou menos. No Chrome, por exemplo, quando você salva as senhas, um simples crtl+c pode copiar todas elas, e não costumamos nos preocupar com isso. A chave mestra sempre foi uma medida de segurança adicional.
“um atacante fazer um ataque de força bruta à palavra-chave mestra e posteriormente ter acesso às passwords” não percebo o porquê disso… Existe desses ataques a quase tudo que é password, seja a ficheiros do office, browsers, compactadores, etc, etc.
Espera lá. O ficheiro de senhas está alojado localmente, certo?
Assim sendo, para executar um ataque desses um atacante terá que ter acesso à máquina e ao ficheiro. No dia que tiver esse acesso, já foste…
Então isto quer dizer que fiz bem em nunca ter guardado senhas no browser? Não dá para acreditar que algo óbvio assim fosse ser tão útil no futuro… passados 9 anos.
Pelos mesmos motivos, segurança, também me recuso a armazenar todas as senhas num só programa seja ele qual for. Irei provavelmente começar a utilizar programas ou mesmo dispositivos dedicados no futuro, mas para já estou à espera que a tecnologia amadureça o suficiente para me sentir confortável com tal.
Nunca usei o gestor de Password do FF, prefiro usar a extensão Bitwarden para guardar as passwords, excepto paypal, e bancos, essas é na cabeça 🙂
Ainda bem que não utilizo o serviço de gestão de passwords.
Prefiro o serviço de caneta e papel.
E o post-it no ecrã ja agora…
Até não, tenho num bloco de notas as passwords.
Esse nunca falha…
Estes camaradas do pipôl uére não são lá muito bons jornalistas. Onde está mencionada a fonte do artigo? Ou melhor, que é cópia integral deste artigo? https://www.bleepingcomputer.com/news/security/firefox-master-password-system-has-been-poorly-secured-for-the-past-9-years/
Cumps camaradas
+1
Traduziram e trouxeram ao conhecimento público em português.
Hmmm…
Não é muito difícil criar passwords seguras e fáceis de memorizar.
O truque é não memorizar a password em si mas as regras para a criação da mesma.
Por exemplo: Três palavras, separadas por $, com maiúscula na última letra de cada e um número de 2 dígitos no fim.
Isto poderia dar, por exemplo: peoplE$warE$coM46
Além de ser fácil memorizar a regra, e portanto não ser preciso usar gestor de password, a password gerada não será fácil de obter por brute force… Demoraria qualquer coisa como 93 triliões de anos com a tecnologia actual.
Daí não se usar guestores de passwords dos browsers….
* gestores
Mais grave que a falha de segurança do browser é mesmo haver gente a guardar passwords no browser. Se eu ganhasse 1€ por cada pessoa que já vi ficar sem emails, contas de redes sociais, acesso a fórums, you name it, simplesmente porque instalou uma aplicação de “optimização e limpeza de sistema” que decide apagar cache, cookies e passwords, dava para vos levar a jantar e ainda pagava uma rodada de shots no fim.
+1 ahahah é verdade