El Administrador de contraseñas de Firefox tiene una falla, pero se solucionará

Puede guardar contraseñas en el navegador web Mozilla Firefox; la funcionalidad está habilitada de forma predeterminada, y se le solicita que lo haga cuando Firefox reconoce que ingresó un nombre de usuario y una contraseña para iniciar sesión.

Los usuarios de Firefox pueden habilitar una contraseña maestra para proteger las contraseñas con encriptación para que los actores locales no solo accedan a la base de datos de contraseñas. Usted controla el almacenamiento de contraseñas en about: preferencias # privacidad.



Si no desea que Firefox guarde las contraseñas, simplemente desmarque 'Recordar inicios de sesión y contraseñas para sitios web' y eso es todo. Para configurar una contraseña maestra, marque la casilla 'usar una contraseña maestra' y siga el asistente para utilizar el cifrado para guardar sus contraseñas.

firefox master password

El cerebro de Adblock Plus, Wladimir Palant analizado El código de contraseña maestra de Firefox descubrió recientemente que la implementación de la contraseña maestra en Firefox y otros productos que comparten código con Firefox, como Thunderbird, tiene una debilidad.



Sin embargo, cuando miré en el código fuente, finalmente encontré la función sftkdb_passwordToKey () que convierte una contraseña en una clave de cifrado mediante la aplicación de hash SHA-1 a una cadena que consta de una sal aleatoria y su contraseña maestra real. Cualquiera que haya diseñado una función de inicio de sesión en un sitio web probablemente verá la bandera roja aquí.

Si bien la implementación de Firefox es rápida, al mismo tiempo también acelera la aplicación de la contraseña maestra por fuerza bruta. Palant sugiere que los atacantes podrían calcular hasta 8.5 mil millones de hash SHA-1 por segundo usando una sola tarjeta de video Nvidia GTX 1080 y que tomaría alrededor de un minuto descifrar las contraseñas maestras promedio debido a eso.

Si bien las contraseñas más seguras extenderían el tiempo que lleva atacar la contraseña maestra, los atacantes con suficiente tiempo o recursos eventualmente podrían descifrar la mayoría de las contraseñas maestras que están en uso.

Sin embargo, la contraseña maestra protege contra intentos poco sofisticados de acceder a la base de datos de contraseñas.

Se agregó un error a Bugzilla de Mozilla sitio web hace nueve años que destacó el problema. La sugerencia de Justin Dolske en ese entonces era aumentar el recuento de iteraciones para aumentar el tiempo que lleva ejecutar ataques de fuerza bruta contra la contraseña maestra de Firefox.

Un recuento de iteraciones más alto lo haría más resistente a la fuerza bruta (al aumentar el costo de probar la contraseña), la especificación PKCS # 5 sugiere un 'valor modesto' de 1000 iteraciones. Y eso fue hace 10 años. :)

Palant envió un mensaje al error que lo revivió del limbo. Varios empleados y desarrolladores de Mozilla respondieron, y parece que el problema se solucionará después de todo.

Robert Relyea sugirió cambiar el recuento de iteraciones para abordar el problema. Esto mejoraría la seguridad de la contraseña maestra sin afectar las contraseñas almacenadas en la base de datos.

Mozilla lanzó una versión alfa de Lockbox, un nuevo administrador de contraseñas para Firefox, recientemente. La organización lanzó la versión alfa como una extensión del navegador con fines de prueba, pero Lockbox podría eventualmente reemplazar el administrador de contraseñas predeterminado del navegador Firefox.

Una diferencia fundamental entre el administrador de contraseñas actual de Firefox y Lockbox es la dependencia de una cuenta de Firefox de este último.

Palabras de cierre

Entonces, ¿qué debe hacer si usa el administrador de contraseñas predeterminado de Firefox y ha configurado una contraseña maestra? La mayoría de los usuarios de Firefox probablemente no tengan que preocuparse por el problema, ya que no se encontrarán con situaciones en las que alguien use la contraseña maestra por fuerza bruta.

Aquellos preocupados por el problema pueden aumentar la longitud de la contraseña maestra o cambiar a otro administrador de contraseñas mientras tanto.

Mi favorito personal es KeePass, un administrador de contraseñas de escritorio, pero puede utilizar soluciones en línea como Ultimo pase también si necesita una sincronización más sencilla.

Ahora tu: ¿Usas el administrador de contraseñas de Firefox? (vía Computadora que suena)

Artículos relacionados

  • Firefox 29: guarde y complete autocomplete = 'off' contraseñas
  • Las contraseñas de Firefox no se pueden sincronizar si usa una contraseña maestra
  • Cómo importar marcadores, contraseñas y otros datos a Firefox
  • Mozilla mejora la gestión de contraseñas en Firefox para Android
  • Mozilla para mejorar el administrador de contraseñas en Firefox 32