O Firefox sempre foi uma das escolhas dos internautas para as navegações na Internet. Ao longo dos anos tem evoluído em várias frentes, sempre procurando ser um browser melhor.
Uma revelação feita agora veio alertar para um problema grave de segurança, que pode comprometer as passwords guardadas neste browser. O problema maior é que esta falha existe há, pelo menos, 9 anos.
Desde que foi introduzida a palavra-chave mestra, que a segurança dos dados dos utilizadores Firefox foi aumentada. Até essa altura as passwords eram guardadas no browser sem qualquer proteção ou cifra.
O problema de segurança do Firefox
O que se descobriu agora vem contrariar esta ideia, revelado que a palavra-chave mestra não traz assim tanta segurança. De acordo com o que foi revelado, é usada uma função sftkdb_passwordToKey(), que converte uma password numa chave de criptografia pela aplicação de uma hash SHA-1 a uma string que consiste num valor aleatório e na palavra-chave mestra.
O problema está no facto da função SHA-1 ser usada apenas 1 vez, enquanto o padrão da indústria referir que deve ser usada pelo menos 10 mil vezes seguidas. Aplicações como o LastPass usam valores de 100 mil.
Esta baixa interação torna muito simples a um atacante fazer um ataque de força bruta à palavra-chave mestra e posteriormente ter acesso às passwords guardadas no Firefox.
Com as mais recentes GPUs e as suas capacidades computacionais, este ataque de força bruta pode acontecer em apenas alguns minutos.
A solução pode estar perto de chegar
A Mozilla já está ciente do problema e até tem uma solução que já pode ser usada. O Lockbox, uma extensão criada para ser um gestor de passwords, irá em breve ser incluído no Firefox, garantindo uma muito maior segurança deste browser.
Um problema que existe há 9 anos
Apesar de ter voltado agora, esta falha já tinha sido reportada há 9 anos, tendo na altura a Mozilla ignorado o problema e não tendo tomado qualquer atitude.
Mesmo sendo um problema grave e sem uma solução imediata, é recomendado que seja mantida a utilização da palavra-chave mestra. O que pode e deve ser feito é a definição de uma nova, com mais caracteres e assim, uma maior segurança.