NOTICIA

Firefox lleva 9 años “protegiendo” tus contraseñas con un cifrado que puede romperse en un minuto

Contrasena Maestra Firefox

Si usas Firefox y guardas tus contraseñas en el navegador quizás conozcas la función de contraseña maestra que ofrece el navegador de Mozilla, una que sirve para proteger todos los passwords que almacenas en el navegador de ojos no deseados.

Pues resulta que por casi una década Mozilla ha estado usando un sistema de cifrado prácticamente inútil actualmente para su característica de contraseña maestra. Uno que puede ser roto en un minuto usando fuerza bruta.

Muchos no recomiendan usar los gestores de contraseña del navegador precisamente porque si el usuario no usa la contraseña maestra para proteger todas las credenciales que almacena en él, estas permanecen en texto plano, bastante vulnerables no solo a un atacante o curioso con acceso físico al ordenador de la víctima, sino a ataques de malware.

Un esquema de cifrado ridículamente débil

La contraseña maestra en cambio se supone que cifra las contraseñas almacenadas y las protege de esto. Pero en el caso de Firefox (y Thunderbird) el cifrado usado es una iteración de SHA-1 tan débil que usando un ataque de fuerza bruta puede ser todo en un momento.

SHA-1 es un algoritmo de cifrado que ya ha sido demostrado puede romperse con ataques de fuerza bruta. Según Wladimir Palant, quien descubrió el problema, el esquema de cifrado que usa la función de contraseña maestra de Firefox tiene un recuento de iteración de 1, lo que quiere decir que se aplica una sola vez, mientras la industria recomienda un mínimo de 10.000 veces, y gestores de contraseña como LastPass usan valores de 100.000.

El cifrado de la contraseña maestra de Firefox es 10.000 veces más débil que el estándar de la industria y 100.000 veces más débil que el de apps como LastPass.
Lockbox Lockbox, el nuevo gestor de contraseñas para Firefox en el que aún están trabajando

Palant, famoso por ser el autor de AdBlock Plus, no es el primero en notar la vulnerabilidad en Firefox. En una entrada en rastreador de bugs de Mozilla ya existe una entrada reportando el mismo problema hace nueve años, poco después de que se lanzara la función de contraseña maestra.

En todo ese tiempo Mozilla parece no haber tenido interés en abordar este problema, en cambio esperan que con el lanzamiento de Lockbox, el nuevo gestor de contraseñas que tendrá Firefox, aún sin fecha exacta de lanzamiento, será la solución al problema. Mientras tanto, la recomendación sería no guardar las contraseñas en el navegador, un gestor de contraseñas independiente es mejor opción, aunque tampoco son infalibles.

Vía | BleepingComputer
En Genbeta | Cómo instalar extensiones para Chrome en Firefox Quantum

También te recomendamos

Rueda tu primer corto con el móvil y algunos accesorios

«El usuario puede robar su propia contraseña» la inofensiva función de Chrome que se sigue reportando como un bug

Cómo probar Lockbox, el nuevo gestor de contraseñas de Firefox


La noticia Firefox lleva 9 años “protegiendo” tus contraseñas con un cifrado que puede romperse en un minuto fue publicada originalmente en Genbeta por Gabriela González .