Nem nyújt megfelelő védelmet a Firefox mesterjelszava

A Firefox és a Thunderbird szoftverek már kilenc éve lehetőséget biztosítanak egy titkosítási kulcs (ún. „mesterjelszó”) beállítására, amivel minden a böngészőben, vagy a levelező kliensben tárolt jelszó titkosítható. Bevezetésekor a biztonsági kutatók üdvözölték a funkciót, hiszen a korábbi metódushoz – a pusztán szabad szövegként tárolt jelszavakhoz – képest ez jelentős előrelépést jelentett. Wladimir Palant, egy népszerű böngésző kiegészítő (AdBlock Plus) fejlesztője mindazonáltal felfedezte, hogy a mesterjelszó titkosításához olyan algoritmust  (SHA-1) alkalmaznak, ami nem biztosít kellő védelmet a próbálgatáson alapuló (brute force) jelszótörő támadásokkal szemben. A probléma alapvetően abból ered, hogy az eljárás során a titkosítást végző függvény csupán egyetlen alkalommal fut le, ami már az iparági gyakorlattal (minimum tízezerszeres iteráció) összevetve is rendkívül alacsony szám, de különösen szembeötlő a különbség a jelszószéfek (pl.: LastPass) által alkalmazott százezerszeres ismétlési rátához képest. Ráadásul nem ez volt az első alkalom, hogy a Mozilla figyelmét felhívták a hiányosságra – ugyanis a funkció bevezetésekor ezzel Justin Dolske már megkereste a céget – mégsem történt változás.