![\"Firefox](\"https:\/\/i.imgur.com\/BGPWcc1.jpg\" "\\"Firefox")
<\/p>\n
Dieses Master-Passwort wird f\u00fcr die Verschl\u00fcsselung einzelner Kennwort-Zeichenfolgen verwendet, die der Benutzer in seinem Browser oder E-Mail-Client speichert.<\/p>\n
Experten haben die Funktion gelobt, weil viele Browser Passw\u00f6rter lokal im Klartext speichern w\u00fcrden. Dadurch seien diese anf\u00e4llig f\u00fcr Malware oder Angreifer mit physischem Zugriff auf den Computer des Opfers. Das Firefox Master-Passwort bewirkt eine Verschl\u00fcsselung der Kennw\u00f6rter, so dass diese sicher sind \u2026<\/p>\n
SHA-1-Hashing per Brute-Force leicht knackbar<\/h2>\n
Doof ist, dass Mozilla f\u00fcr die Funktion \"Master-Passwort\" seit neun Jahren einen unzureichend starken Verschl\u00fcsselungsmechanismus verwendet. Bleeping Computer zitiert hier<\/a> Wladimir Palant, den Autor der AdBlock Plus-Erweiterung. Dieser sagt, dass das Verschl\u00fcsselungsschema, das von der Master-Passwort-Funktion verwendet wird, schwach ist und leicht per Brut-Force-Angriff geknackt werden kann.<\/p>\n Hintergrund ist der verwendete SHA-1-Hash-Algorithmus. \"Ich habe mir den Quellcode angeschaut\", sagt Palant, \"schlie\u00dflich habe ich die Funktion sftkdb_passwordToKey()<\/em> gefunden, die ein [Website]-Passwort in einen Verschl\u00fcsselungsschl\u00fcssel konvertiert, indem SHA-1-Hashing auf einen String angewendet wurde, der aus einem zuf\u00e4lligen Salt und dem eigentlichen Master-Passwort besteht. Jeder, der jemals eine Login-Funktion auf einer Website entwickelt hat, wird hier wahrscheinlich eine rote Flagge sehen.\"<\/p>\n Das No-Go, auf das sich Palant bezieht, ist der Umstand, dass die SHA-1-Funktion eine Iterationszahl von 1 hat. Das bedeutet, dass sie nur einmal angewendet wird, w\u00e4hrend Industriepraktiken 10.000 als solides Minimum f\u00fcr diesen Wert betrachten, w\u00e4hrend Anwendungen wie LastPass Werte von 100.000 verwenden. Diese niedrige Iterationszahl macht es einem Angreifer unglaublich einfach, das Master-Passwort per Brute-Force-Angriff zu knacken. Dann hat er sp\u00e4ter Zugriff auf die verschl\u00fcsselten Passw\u00f6rter, die in den Firefox- oder Thunderbird-Datenbanken gespeichert sind, um diese zu entschl\u00fcsseln.<\/p>\n Palant verweist auf die j\u00fcngsten Fortschritte bei Verwendung von GPU-Karten, die es Angreifern jetzt erm\u00f6glichen, mit deren Rechenleistung vereinfachte Master-Passw\u00f6rter in weniger als einer Minute zu knacken.<\/p>\n Der Witz an der ganzen Geschichte: Palant war nicht der erste, der eine solche Schw\u00e4che bemerkte. Ein neun Jahre alter Mozilla-Bugtracker-Eintrag von Justin Dolske adressierte das gleiche Problem. Der Eintrag wurde kurz nach der Einf\u00fchrung Master-Passwort-Funktion erstellt.<\/p>\n Dolske wies auch auf die niedrige Iterationszahl von 1 als Hauptproblem des Master-Passwortes hin. Aber trotz des Berichts hat Mozilla jahrelang keine offiziellen Ma\u00dfnahmen ergriffen. Erst in der vergangenen Woche, als Palant den urspr\u00fcnglichen Bug-Bericht wiederbelebt hat, hat Mozilla endlich eine offizielle Antwort gegeben. Das wird wohl mit dem Start der neuer Firefox Passwort-Manager-Komponente – aktuell mit dem Codenamen Lockbox und als Erweiterung verf\u00fcgbar \u2013 behoben.<\/p>\n Frage: Hat irgend jemand von euch dieses Master-Passwort in der Vergangenheit genutzt?<\/p>\n \u00c4hnliche Artikel:<\/strong> Firefox: Breach Alerts \u2013 und Cliqz-Addon<\/a> Die Woche f\u00e4ngt mal wieder gut an. Gerade wurde ruchbar, dass der Firefox-Browser und der Thunderbird-Mail-Client seit 9 Jahren bei der Speicherung des Master-Passworts patzen.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1432,426],"tags":[44,4328],"class_list":["post-202317","post","type-post","status-publish","format-standard","hentry","category-firefox-internet","category-sicherheit","tag-firefox","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/202317","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=202317"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/202317\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=202317"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=202317"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=202317"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Erste Warnungen vor Jahren<\/h2>\n
\nPwn2Own 2018 Browser-Hacks: Firefox, Safari, Edge<\/a>
\nKritischer Sicherheitsfix: Firefox 59.0.1 erschienen
\nFirefox Version 59 freigegeben<\/a>
\nDatenschn\u00fcffler Firefox Add-on \"Photobucket Hotlink Fix\"<\/a>
\nFirefox-Erweiterung 'Image Previewer' mit Miner?<\/a>
\nMozilla \u00e4rgert Firefox-Nutzer mit 'Mr. Robot'-Add-On-Installation<\/a><\/p>\n
\nFirefox 57: Was passiert mit Derivaten?
\nFirefox 57.0.2 verf\u00fcgbar<\/a>
\nFirefox Klar: \"Datenschutz-Browser\" als Datenschleuder<\/a>
\nFirefox Klar und das Datentracking\u2013Nachlese<\/a>
\nFirefox als Datenkrake mit Cliqz-Addon?<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"