主题 : 开发者惊讶:火狐浏览器密码保护机制太弱,却一直用了九年
千山同一月 万户尽皆春 千江有水千江月 万里无云万里天
级别: 总版主

UID: 998
精华: 0
发帖: 604963
威望: 528524 点
无痕币: 3089 WHB
贡献值: 0 点
在线时间: 61679(时)
注册时间: 2008-12-25
最后登录: 2024-03-29

0 开发者惊讶:火狐浏览器密码保护机制太弱,却一直用了九年

3月19日消息 一位安全研究人员发现,过去九年来,火狐浏览器一直在用过时的方案保护用户的密码。只需要1分钟,现在的GPU就可以攻破该保护方案。

据称,Mozilla旗下的火狐浏览器和Thunderbird邮件客户端会让用户设置一个主密码,以提高用户数据的安全性。但是该密码一直使用SHA1加密,极易遭到破解。
IT之家获悉,有意思的是,早在9年前,这一漏洞就被开发者发现并提出。但是该漏洞一直未得到解决。
“我查看了源代码,发现了sftkdb_passwordToKey()函数。它应用了SHA-1哈希加密算法,将用户的真实密码加随机盐组成的字符串加密,形成密钥。”这名开发者表示,“任何在网页上设计过登录功能的人,都会意识到其中的危险。”
为了更好地说明该问题,这名开发者还翻出了他九年前的错误报告。对此,Mozilla表示,他们不久就将推出新的密码管理器Lockbox,届时该问题将得到解决。Mozilla告诉用户,他们可以通过设置更长、更复杂的主密码,以提高安全性。
级别: 十方秋水

UID: 88
精华: 0
发帖: 129690
威望: 220744 点
无痕币: 105747 WHB
贡献值: 0 点
在线时间: 51559(时)
注册时间: 2008-03-18
最后登录: 2024-03-29

谢谢楼主的分享。
Total 0.033900(s) query 4, Time now is:03-29 07:29, Gzip enabled 粤ICP备07514325号-1
Powered by PHPWind v7.3.2 Certificate Code © 2003-13 秋无痕论坛