Verschlüsselung & Datensicherheit

Firefox schützt Master-Kennwort nicht effektiv

Firefox schützt Master-Kennwort nicht effektiv
Zum Passwortschutz wird das unsichere Hash-Verfahren SHA-1 angewendet.

Laut Warnungen eines Sicherheitsforschers sind Passwörter, die in Firefox und auch in Thunderbird gespeichert sind nicht ausreichend vor Datendiebstahl geschützt. Angreifern kann es so leicht gelingen, das Master-Kennwort des Passwort-Tresors in Mozillas Firefox und Thunderbird  zu erraten.

Zustand seit neun Jahren unverändert

Wie heise.de unter Berufung auf die Untersuchungen eines Sicherheitsforschers berichtete, gab es bereits vor neun Jahren erste Hinweise auf diesen Missstand, an dem sich bis heute nichts geändert hat. Das Master-Passwort wird zwar von beiden Anwendungen geschützt, wofür allerdings das als  geknackt geltende Hash-Verfahren SHA-1 zum Einsatz kommt. Dabei verfremdet eine Zufallszahl den Hash, damit gleiche Passwörter nicht den gleichen Hash bekommen. Das erschwert ein Erraten.

Wie es weiter dazu heißt verwenden die Network Security Services (NSS) von Firefox und Thunderbird SHA-1 nur ein einziges Mal. Damit ist es möglich, dass Angreifer via Brute-Force-Attacke innerhalb von Sekunden Milliarden Hashes ausprobieren, um das Master-Passwort zu knacken. Die einzige Voraussetzung, die ein Angreifer benötigt ist der direkte Zugriff auf den Computer; entweder lokal oder durch einen installierten Trojaner.

Abhilfe in Sicht?

In dem vor neun Jahren erstellten Bug-Report hat nun ein Mozilla-Entwickler die Vermutung geäußert, dass eventuell der von Mozilla entwickelte Passwort-Manager Lockbox den jetzigen Ansatz ersetzen könnte. Diese Antwort ist weder befriedigend noch nachvollziehbar: Das Master-Kennwort sicher zu speichern, ist schließlich kein Hexenwerk. So könnten die Entwickler beispielsweise den PBKDF2-Algorithmus mit 100.000 Wiederholungen einsetzen, um das Sicherheitsproblem aus der Welt zu schaffen.

Wer den Passwort-Tresor von Firefox und Thunderbird trotz des Problems nutzen möchte, sollte ein starkes Master-Kennwort verwenden. Das muss keine schwer zu merkende Zeichenfolge bestehend aus Sonderzeichen & Co. sein, sondern alternativ eine Passphrase aus möglichst langen Wortfolgen. Diese kann man sich besser merken. Dabei ist die Länge der effektivste Stellhebel, um die Knackdauer zu erhöhen, so heise.de.

Weiterführende Links:

Passwortschutz

Warnung von Wladimir Palant: Master password in Firefox or Thunderbird? Do not bother!

heise.de: Passwort-Tresor Webbrowser: Firefox pfuscht seit neun Jahren beim Master-Kennwort

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
Verschlüsselung & Datensicherheit

Cybersicherheit in 2025: Stärkere Regulierung und Fokus auf robuste Authentifizierung

Die Cyberbedrohungen nehmen stetig zu und werden immer ausgefeilter. Als Reaktion darauf werden Regierungen weltweit strengere Vorschriften zur Cybersicherheit einführen.

Verschlüsselung & Datensicherheit

Phishing-Kampagne erhebliche Bedrohung

Die Phishing-Kampagne CopyRh(ight)adamantys stellt eine erhebliche Bedrohung für Unternehmen weltweit dar. Cyberkriminelle nutzen hier eine hochgradig automatisierte Methode, um an sensible Daten zu gelangen. Ihre Strategie basiert auf dem Versenden massenhaft personalisierter E-Mails, in denen sie Unternehmen fälschlicherweise Urheberrechtsverletzungen vorwerfen.

Verschlüsselung & Datensicherheit

Veränderung der Cyberbedrohungslandschaft

Durch rasante Fortschritte in der Technologie, insbesondere im Bereich der künstlichen Intelligenz und des Quantencomputing, erleben wir eine dramatische Veränderung der Cyberbedrohungslandschaft. Cyberkriminelle nutzen diese Entwicklungen schamlos aus, um immer raffiniertere Angriffe zu starten.

Verschlüsselung & Datensicherheit

G DATA Index

Deutsche unterschätzen die Gefahr von Cyberangriffen zunehmend. Trotz der steigenden Zahl von Cyberattacken weltweit und in Deutschland fühlen sich die Menschen immer weniger bedroht. Dieses wachsende Sicherheitsgefühl steht in krassem Gegensatz zur tatsächlichen Bedrohungslage.

oben