21.03.2018 Sicherheitsleck bei Mozilla Passwort-Tresor

Symbolbild

In Firefox und Thunderbird gespeicherte Passwörter sind nicht effektiv vor Datendiebstahl geschützt. Hinweise auf diesen Missstand gab es schon vor neun Jahren.

Sicherheitsforscher Wladimir Palant warnt, dass Angreifer mit vergleichsweise wenig Aufwand das Master-Kennwort des Passwort-Tresors in Mozillas Firefox und Thunderbird ermitteln könnten. Wer das Master-Kennwort hat, kann alle im Mail-Client und Webbrowser gespeicherten Passwörter für Onlinedienste im Klartext einsehen.

Mangelhafter Schutz

Beide Anwendungen schützen das Master-Passwort mit dem Hash-Verfahren SHA-1, das jedoch als geknackt gilt. Die Network Security Services (NSS) von Firefox und Thunderbird wenden SHA-1 außerdem nur ein einziges Mal an. Haben Angreifer lokal oder mittels Trojaner Zugriff auf den Computer, können sie via Brute-Force-Attacke innerhalb von Sekunden Milliarden Hashes ausprobieren, um das Master-Passwort zu knacken.

Hinweise auf diesen Missstand gab es bereits vor neun Jahren. Er wurde laut Sicherheitsforscher Palant offensichtlich bisher nicht behoben.

Starkes Master-Kennwort hilft

Will man den Passwort-Tresor von Firefox und Thunderbird trotz des Sicherheitsmangels nutzen, sollte man sich ein starkes Master-Kennwort zulegen: Um die Knackdauer zu erhöhen ist es am effektivsten eine möglichst lange Wortfolge zu wählen, die man sich dennoch gut merken kann.

Weitere Informationen:

Datum der Veröffentlichung: 21.03.2018

Für den Inhalt verantwortlich:
  • A-SIT Zentrum für sichere Informationstechnologie – Austria