"Master password Firefox en Thunderbird eenvoudig te kraken"
Het master password dat Firefox en Thunderbird gebruiken om opgeslagen wachtwoorden te beveiligen is eenvoudig te kraken, zo stelt Wladimir Palant, ontwikkelaar van de populaire adblocker Adblock Plus. Zowel Firefox als Thunderbird beschikken over een ingebouwde wachtwoordmanager.
De wachtwoordmananger slaat wachtwoorden van de gebruiker op, zodat hij die niet meer op websites of bij het inloggen op het e-mailaccount hoeft in te voeren. Om de opgeslagen wachtwoorden te beveiligen kan er een master password worden ingesteld. Dit master password moet worden ingegeven voordat de opgeslagen wachtwoorden zijn te gebruiken.
Palant keek naar de broncode van de wachtwoordmanager en ontdekte dat de betreffende functie het wachtwoord naar een encryptiesleutel omzet door een sha-1-hash te maken van een random salt en het master password. Met een snelle videokaart is het echter mogelijk om een groot aantal sha-1-hashes te berekenen. Volgens Palant kan een Nvidia GTX 1080 videokaart 8,5 miljard sha-1-hashes per seconde berekenen. "En mensen staan erom bekend dat ze zeer slecht zijn in het kiezen van sterke wachtwoorden", aldus de Adblock Plus-ontwikkelaar. Gemiddeld zou het volgend Palant een minuut duren om een master password te kraken.
Het feit dat het master password eenvoudig via een brute force-aanval is te kraken is echter al meer dan 9 jaar bekend, zo blijkt uit een melding op Bugzilla, het systeem waarmee Mozilla bugs in Firefox en Thunderbird bijhoudt. Naar aanleiding van de blogpost van Palant lijken de ontwikkelaars van Mozilla nu naar sterkere algoritmes te kijken om het master password tegen bruteforce-aanvallen te beschermen.
Volgens het artikel kan de GTX1080 in 1 seconde 8,5 miljard SHA-1 kan berekenen. Bij een algoritme dat bijvoorbeeld 0,1 seconden nodig heeft om één hash te berekenen, om dezelfde hoeveelheid hashes te berekenen heb je 2695 jaar nodig.
En toch is 0,1 seconden wachten schappelijk bij het binnenkomen van de wachtwoordmanager.
Jackpot, u hebt het helemaal goed.
plain text ;-)
Goed dat die man dit aankaart.
Ik denk zelf dat ik een erg goed idee heb voor extreem zekere passwords.
Alleen denk ik dat dit idee (zoals het nu is) niet toe te passen is.
Ik zou hier graag met iemand of met een bedrijf over willen communiceren.
Maar ik ga zoiets experimenteels niet per mail of telefoon bespreken.
Face to face, of; tete a tete, en anders dan maar niet.
Ik wil er met de auto gerust een eind voor gaan rijden.
Iemand ideeen/suggesties/opties/meningen?
Een natuur liefhebber.
Of je moet lui en gemakkelijk uitgevallen zijn en je hebt niets te verbergen ;-)
Waarom nu pas? Terwijl het al 9 jaar bekend was....
Omdat je zonder een vorm van een wachtwoord manager niet een stuk of honderd sterke wachtwoorden kunt onthouden.
Maar dan wel opgeslagen achter een hoofdwachtwoord zodat niet iedereen die even bij jouw computer kan komen, deze wachtwoorden kan opvragen.
Omdat je zonder een vorm van een wachtwoord manager niet een stuk of honderd sterke wachtwoorden kunt onthouden.
Maar dan wel opgeslagen achter een hoofdwachtwoord zodat niet iedereen die even bij jouw computer kan komen, deze wachtwoorden kan opvragen.
plain text ;-)
yep, klopt, en dat is ook waarom alle richtlijnen adviseren om wachtwoorden *niet* op te slaan.
En om toch vooral, vooral, eindelijk eens MFA aan te zetten op de belangrijke accounts.
Als iemand nog niet overtuigd is, lees dit artikel eens over hoe zelfs sommige adtrackers misbruik maken van opgeslagen identiteiten in browsers: https://www.theverge.com/2017/12/30/16829804/browser-password-manager-adthink-princeton-research
Niets aan de hand. Gewoon alles opslaan. Masterwachtwoorden zijn ook optioneel. Alles gewoon lekker in plain-text op disk, heerlijk makkelijk.
En vooral negeren als bedrijven aangeven dat sommige wachtwoorden minder handig zijn om op te slaan in de browser https://www.fxsitecompat.com/en-CA/docs/2014/form-autocomplete-off-no-longer-prevents-passwords-from-being-saved/ (wachtwoord managers die de gebruiker zelf kiest mogen dat toch natuurlijk wel netjes negeren)..
(niet sarcastisch)
Pak een behoorlijke - offline - wachtwoorden manager en voorkom een hoop problemen.
Nog een extra programma naast je browser hiervoor moeten vertrouwen is een extra risico. Helemaal geen wachtwoordmanager gebruiken is ook een risico (voorspelbare of zelf gelijke wachtwoorden op meerdere sites, tenzij je die enkeling met extreem goed geheugen bent).
Los hiervan: salt + 1x SHA-1 is anno 2018 inderdaad onnodig zwak en schaadt wel degelijk het vertrouwen in Firefox m.b.t. omgang met wachtwoorden.
Ik bewaar daar juist de foutieve wachtwoorden. ;-)
De echte wachtwoorden zitten in een wachtwoordkluis. En nee, ik gebruik niet de daarbij beschikbare browser plugin.
Peter
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.