Passwort-Tresor Webbrowser: Firefox pfuscht seit neun Jahren beim Master-Kennwort
Ein Sicherheitsforscher warnt erneut: In Firefox und Thunderbird gespeicherte Passwörter sind nicht effektiv vor Datendiebstahl geschützt.
(Bild: Pixabay)
Angreifer könnten mit vergleichsweise wenig Aufwand das Master-Kennwort des Passwort-Tresors in Mozillas Firefox und Thunderbird erraten. Wer das kennt, kann die im Mail-Client und Webbrowser gespeicherten Passwörter für Onlinedienste im Klartext einsehen.
Davor warnt nun erneut ein Sicherheitsforscher. Bereits vor neun Jahren gab es Hinweise auf diesen Missstand. Daran hat sich offensichtlich bis jetzt nichts geändert.
Schutz knackbar
Die beiden Anwendungen schützen das Master-Passwort zwar, dafür kommt jedoch das längst als geknackt geltende Hash-Verfahren SHA-1 zum Einsatz. Eine Zufallszahl (Salt) verfremdet den Hash, damit gleiche Passwörter nicht den gleichen Hash bekommen. Das erschwert ein Erraten.
Doch da die Network Security Services (NSS) von Firefox und Thunderbird SHA-1 nur ein einziges Mal anwenden, könnten Angreifer via Brute-Force-Attacke innerhalb von Sekunden Milliarden Hashes ausprobieren, um das Master-Passwort zu knacken. Dafür müsste ein Angreifer jedoch Zugriff auf den Computer haben; entweder lokal oder durch einen installierten Trojaner.
Abhilfe in Sicht?
In dem vor neun Jahren erstellten Bug-Report hat nun ein Mozilla-Entwickler die Vermutung geäußert, dass eventuell der von Mozilla entwickelte Passwort-Manager Lockbox den jetzigen Ansatz ersetzen könnte. Diese Antwort ist weder befriedigend noch nachvollziehbar: Das Master-Kennwort sicher zu speichern, ist schließlich kein Hexenwerk. So könnten die Entwickler beispielsweise den PBKDF2-Algorithmus mit 100.000 Wiederholungen einsetzen, um das Sicherheitsproblem aus der Welt zu schaffen.
Wer den Passwort-Tresor von Firefox und Thunderbird trotz des Problems nutzen möchte, sollte ein starkes Master-Kennwort verwenden. Das muss keine schwer zu merkende Zeichenfolge bestehend aus Sonderzeichen & Co. sein, sondern alternativ eine Passphrase aus möglichst langen Wortfolgen. Diese kann man sich besser merken. Dabei ist die Länge der effektivste Stellhebel, um die Knackdauer zu erhöhen.
Lesen Sie dazu auch die Titelstory in der aktuellen c't 07/2018. In den Artikeln finden Sie unter anderem viele hilfreiche Tipps zum Umgang mit Passwörtern und einen Test von 15 Passwortmanagern:
tipps+tricks zum Thema:
(des)
