 Създателят на AdBlock Plus разкритикува системата за защита на паролите, използвана в браузъра Firefox и пощенския клиент Thunderbird.Той заяви, че потребителските имена и паролите от тези програми могат да бъдат откраднати за броени минути. За достъпа до записаните във Firefox и Thunderbird пароли се използва главна парола, която се използва като ключ за тяхното криптиране. Паролите се съхраняват в криптирания файл key3.db. За самото криптиране се използва много слабата технология SHA-1, която е безсилна срещу подбора чрез груба сила, реализиран с помощта на графична карта. Така например, видеокартата NVIDIA GTX 1080 може да генерира до 8,5 милиарда варианта на паролите в секунда и се справя само за няколко минути. След получаването на главната парола, атакуващият получава достъпа до всички записани в браузъра пароли. Основният проблем е, че във Firefox и Thunderbird се използва само една итерация на функцията SHA-1. Нормалната практика е използването на 10 000 итерации, а в LastPass се използват 100 000 итерации, което намалява до минимум риска за разбиване на паролата чрез метода на грубата сила. Първото съобщение за този проблем се появи още преди 9 години. Но и до днес ситуацията е същата. |
