9 năm qua Firefox đã chẳng bảo vệ mật khẩu người dùng cẩn thận

Một nhà nghiên cứu về an ninh mạng mới phát hiện ra rằng trong suốt 9 năm qua, Firefox đã lưu trữ mật khẩu người dùng bằng một quy trình đã lỗi thời và có thể bị GPU hack chỉ trong chưa đầy 1 phút.

Cả Firefox và Thunderbird đều cho phép người dùng thiết lập Master Pasword để bảo mật cao hơn, sử dụng kiểu mã SHA1 (rất dễ bị bẻ khóa) trong suốt 9 năm qua.

Vấn đề này được Wladimir Palant, tác giả của tiện ích mở rộng AdBlock Plus phát hiện. Nhưng điều đáng nói nữa là Wladimir đã đề cập vấn đề này 9 năm trước nhưng chẳng hề được Mozilla khắc phục.

Mật khẩu lưu trữ trên Firefox hóa ra không hề an toàn chút nào

Palant nói: “Tôi nhìn vào mã nguồn và cuối cùng tìm thấy hàm sftkdb_passwordToKey() để chuyển từ mật khẩu (website) sang chuỗi kí tự mã hóa (key) bằng cách dùng mã SHA1 với 1 chuỗi gồm mật khẩu của bạn và 1 chuỗi ngẫu nhiên. Bất kì ai từng thiết kế hàm đăng nhập cho website đều sẽ thấy vấn đề ở đây”.

Palant đã nhắc lại vấn đề và Mozilla cho biết họ sẽ khắc phục khi đưa ra công cụ quản lý mật khẩu mới Lockbox. Trong khi chờ đợi, người dùng Firefox nếu muốn bảo mật dữ liệu của mình nên dùng mật khẩu dài và phức tạp hơn.

Xem thêm:

• Tại sao bạn nên tắt tính năng Autofill trong trình quản lý mật khẩu?
• 3 quy tắc vàng để tránh bị tấn công giả mạo
• Cách dùng Lockbox quản lý mật khẩu trên Firefox Quantum