Hlavní heslo ve Firefoxu představuje slabou ochranu, zjistil otec AdBlocku Plus

19. 3. 2018

Sdílet

 Autor: Redakce
Nejbezpečnější je spoléhat se na vlastní paměť.

Ukládání hesel v prohlížečích je již delší dobu zpochybňováno. Nejlepší bezpečnostní praktika je samozřejmě pokaždé při přihlašování zadávat hesla pěkně z paměti, což ale snižuje komfort používání technologií. Kompromisem mohou být nástroje se zabezpečenými databázemi, které chrání jedno skutečně silné heslo. Je jistě jednodušší si pamatovat jen jedno složité heslo. Ochranu jedním hlavním heslem odpradávna nabízí mj. Firefox. Wladimir Palant, původní autor AdBlocku Plus, zjistil, že tato funkce představuje jen slabou ochranu. Pakliže hlavní heslo nastavíte, nejsou hesla uložena ve snadno čitelném souboru. To je stále dobře, protože tak databáze není vydána napospas zcela amatérským pokusům o krádež hesel. Pro hashování je používán SHA-1. Při zkoumání kódu prohlížeče Palant objevil funkci, jež konvertuje heslo do náhodného šifrovacího klíče tak, že vznikne řetězec částečně složený z náhodných znaků, jenž obsahuje také vaše hlavní heslo.

Prolomení může trvat minuty

Vývojář poukazuje na to, že prolomit tento typ šifrování tak, jak je implementovaný, je s dnešním výkonným hardwarem velice snadné. Grafické karty dokáží propočítávat hashe velmi rychle. Palant se odkazuje na loňský článek Jeff Atwooda, na jehož základě odhaduje, že Nvidia GTX 1080 dokáže vypočítat 8,5 miliardy hashů za sekundu.

ICTS24

Používáte hlavní heslo? Je vůbec moudré ukládat hesla v prohlížečích? Používáte hlavní heslo? Je vůbec moudré ukládat hesla v prohlížečích?

Což je problém v případě, že nepoužijete dostatečně silné heslo. Pokud použijete slabší heslo, může prolomení trvat minuty. Bavíme se samozřejmě o teoretickém útoku, v němž by se někdo dokázal zmocnit vašich uložených hesel ve Firefoxu, ve vzduchu ale potenciální ohrožení visí. Palant zjistil, že o relativně slabém místě zabezpečení se ví již devět let.

Napravení by podle něj nemuselo být tak těžké – navrhuje implementaci algoritmu PBKDF2, který by útoky typu brute force výrazně ztížil. Zatím není zcela zřejmé, jak bude problém vyřešen. Mozilla naznačuje, že by jím mohl být nový správce hesel, jenž aktuálně je testován ve formě samostatného doplňku pod názvem Lockbox. Stejným problémem je tedy postižený také např. Thunderbird, případně jiné produkty odvozené od Firefoxu.

Google od podzimu 2014 weby s certifikáty, kde byl SHA-1 používán, začal postupně označovat za nebezpečné. Ještě připomenu, že v roce 2012 bylo předpovězeno, že do roku 2018 SHA-1 podlehne tzv. koliznímu útoku. První reálnou kolizi ukázal Google v únoru 2017.