NOTICIA
Firefox lleva 9 años “protegiendo” tus contraseñas con un cifrado que puede romperse en un minuto
Si usas Firefox y guardas tus contraseñas en el navegador quizás conozcas la función de contraseña maestra que ofrece el navegador de Mozilla, una que sirve para proteger todos los passwords que almacenas en el navegador de ojos no deseados.
Pues resulta que por casi una década Mozilla ha estado usando un sistema de cifrado prácticamente inútil actualmente para su característica de contraseña maestra. Uno que puede ser roto en un minuto usando fuerza bruta.
Muchos no recomiendan usar los gestores de contraseña del navegador precisamente porque si el usuario no usa la contraseña maestra para proteger todas las credenciales que almacena en él, estas permanecen en texto plano, bastante vulnerables no solo a un atacante o curioso con acceso físico al ordenador de la víctima, sino a ataques de malware.
Un esquema de cifrado ridículamente débil
La contraseña maestra en cambio se supone que cifra las contraseñas almacenadas y las protege de esto. Pero en el caso de Firefox (y Thunderbird) el cifrado usado es una iteración de SHA-1 tan débil que usando un ataque de fuerza bruta puede ser todo en un momento.
SHA-1 es un algoritmo de cifrado que ya ha sido demostrado puede romperse con ataques de fuerza bruta. Según Wladimir Palant, quien descubrió el problema, el esquema de cifrado que usa la función de contraseña maestra de Firefox tiene un recuento de iteración de 1, lo que quiere decir que se aplica una sola vez, mientras la industria recomienda un mínimo de 10.000 veces, y gestores de contraseña como LastPass usan valores de 100.000.
Palant, famoso por ser el autor de AdBlock Plus, no es el primero en notar la vulnerabilidad en Firefox. En una entrada en rastreador de bugs de Mozilla ya existe una entrada reportando el mismo problema hace nueve años, poco después de que se lanzara la función de contraseña maestra.
En todo ese tiempo Mozilla parece no haber tenido interés en abordar este problema, en cambio esperan que con el lanzamiento de Lockbox, el nuevo gestor de contraseñas que tendrá Firefox, aún sin fecha exacta de lanzamiento, será la solución al problema. Mientras tanto, la recomendación sería no guardar las contraseñas en el navegador, un gestor de contraseñas independiente es mejor opción, aunque tampoco son infalibles.
Vía | BleepingComputer
En Genbeta | Cómo instalar extensiones para Chrome en Firefox Quantum
También te recomendamos
Rueda tu primer corto con el móvil y algunos accesorios
Cómo probar Lockbox, el nuevo gestor de contraseñas de Firefox
–
La noticia
Firefox lleva 9 años “protegiendo” tus contraseñas con un cifrado que puede romperse en un minuto
fue publicada originalmente en
Genbeta
por
Gabriela González
.