呂守箴(OpenBlue) => 網路攻防戰~資安閒聊群組: 標題：火狐瀏覽器「主控密碼」保護機制安全性太弱，卻就這麼用了九年摘要： AdBlock Plus 擴充套件的作者 Wladimir Palant 最近在檢視sftkdb_passwordToKey() 這個函式的原始碼，這個函式是用來將使用者輸入的密碼轉換成加密金鑰的函式。但是他在檢視的時候發現，這個函式用來加密的方法是SHA1加密雜湊演算法。但是他發現這個函式中用到的疊代次數僅為1，而一般業界認為這個疊代次數應該要為一萬才是安全的。在這種情況下，攻擊者可以用暴力破解法來攻破密鑰，然後就可以解密存放在Firefox或是Thunderbird 中的密碼。而且，依照現在GPU顯卡的性能，攻擊者大約在不到一分鐘以內的時間，就可以暴力破解大多數的密碼。原始資料： https://www.bleepingcomputer.com/news/security/firefox-master-password-system-has-been-poorly-secured-for-the-past-9-years/ https://www.securityweek.com/firefox-fails-keeping-passwords-secure-developer-claims 引用來源： https://www.techbang.com/posts/57528-developer-surprised-firefox-password-protection-mechanism-is-too-weak-but-it-has-been-used-for-nine-years #5abb678e5cd61465798591cb

呂守箴(OpenBlue) says to 網路攻防戰~資安閒聊群組

標題：火狐瀏覽器「主控密碼」保護機制安全性太弱，卻就這麼用了九年摘要： AdBlock Plus 擴充套件的作者 Wladimir Palant 最近在檢視sftkdb_passwordToKey() 這個函式的原始碼，這個函式是用來將使用者輸入的密碼轉換成加密金鑰的函式。但是他在檢視的時候發現，這個函式用來加密的方法是SHA1加密雜湊演算法。但是他發現這個函式中用到的疊代次數僅為1，而一般業界認為這個疊代次數應該要為一萬才是安全的。在這種情況下，攻擊者可以用暴力破解法來攻破密鑰，然後就可以解密存放在Firefox或是Thunderbird 中的密碼。而且，依照現在GPU顯卡的性能，攻擊者大約在不到一分鐘以內的時間，就可以暴力破解大多數的密碼。原始資料： https://www.bleepingcomputer.com/news/security/firefox-master-password-system-has-been-poorly-secured-for-the-past-9-years/ https://www.securityweek.com/firefox-fails-keeping-passwords-secure-developer-claims 引用來源： https://www.techbang.com/posts/57528-developer-surprised-firefox-password-protection-mechanism-is-too-weak-but-it-has-been-used-for-nine-years

at Wed, Mar 28, 2018 5:59 PM