Mozilla Firefox, la Master password è poco sicura... Da ben 9 anni

19 Marzo 2018 69

Il sistema di cifratura della master password di Mozilla Firefox è talmente debole che una GPU recente può decriptare quelle più corte in meno di un minuto, e il problema è noto da almeno nove anni. Era il 25 ottobre 2009 quando veniva segnalato sul bug tracker di Mozilla, ma nessuno se ne occupò mai. Recentemente è stato ri-scoperto da Wladimir Palant, l'ideatore della popolare estensione per browser AdBlock Plus.

La vulnerabilità di Firefox non è un errore, un bug o un exploit: deriva dalla scelta di implementare un protocollo di sicurezza intrinsecamente debole. La master password viene criptata con l'ormai obsoleto e poco efficace protocollo SHA-1. È una stringa che include la master password vera e propria più una serie di caratteri casuali. Una GPU GeForce GTX 1080 riesce a calcolare circa 8,5 miliardi di hash SHA-1 al secondo: vuol dire 8,5 miliardi di password testate ogni secondo. Dice Palant:

Questo articolo stima che una password è lunga mediamente 40 bit, ed è già una stima piuttosto ottimistica. Per indovinare una password lunga 40 bit bisogna fare 2^39 tentativi in media. Facendo due conti, il tempo medio di decriptazione è quindi di un minuto.

Mozilla non sembra interessata a risolvere il problema in questa iterazione del sistema di salvataggio delle password. Ma offrirà in futuro un servizio migliore grazie al completamente nuovo Lockbox, che si baserà sulla registrazione di un account Mozilla.


69

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
Oliver Cervera

È una mia "supposizione", ma credo sia valida - inoltre nel ticket una persona si riferisce a "40 bit entropy".
In ogni caso pensare che la MAGGIOR parte delle password siano di 5 caratteri è davvero ridicolo. Anche le password più sceme sono di 6-8 caratteri (tipo 12345678, 1234abcd) ecc

Alessio Ferri

Se l'articolo come dici è scritto male e per 40 bit si intendono i bit di entropia hai assolutamente ragione, ma dall'articolo non era affatto chiaro.

Oliver Cervera

L'articolo è scritto da cani (che è la media, purtroppo), è chiaro che si parla di entropia e non di 5 caratteri dato che il 99.99% dei siti da millenni chiede almeno 6 caratteri per un account (che sono pochissimi)

Alessio Ferri

Quelli sono i bit equivalenti di entropia calcolati comprimendo la password con pattern noti, non sono i bit effettivi, nell'articolo fino a prova contraria si parla di bit effettivi, quindi 5 caratteri.

Oliver Cervera

No, non si calcolano così i bit delle password.

Dipende dalla complessità e dai caratteri ripetuti. KeePass permette di misurare i bit della tua password.

Una password che si chiama "provapasswd" è di 40 bit ed è di ben 11 caratteri, ma se diventa "Prov@passwd" passa a 47 bit, "Prov@passwo" invece è 52 bit.

lollipop

Ma anche in notazione scientifica, perché no? :P

Dea1993
Le password che a te sembrano casuali nel 99% dei casi non sono affatto
casuali, noi umani tendiamo sempre a scegliere password facili da
ricordare, e perché siano facili da ricordare vuol dire che tendiamo ad
usare parole del dizionario, nomi, date, numeri, ecc. Anche stratagemmi
come cambiare delle lettere con dei numeri e simboli strani non
funzionano, qualsiasi algoritmo di bruteforce anche stupido queste
sostituzioni le sa fare.


e chi ti dice questo??
io sto tranquillo per le mie password, le password casuali, non sono password da dizionario, e non dico semplicemente di scrivere "p4ssw0rd" al posto di "password".
hai fatto un discorso generale, dando per scontato che io stoscambiando password non sicure per password sicure

ale

Le password che a te sembrano casuali nel 99% dei casi non sono affatto casuali, noi umani tendiamo sempre a scegliere password facili da ricordare, e perché siano facili da ricordare vuol dire che tendiamo ad usare parole del dizionario, nomi, date, numeri, ecc. Anche stratagemmi come cambiare delle lettere con dei numeri e simboli strani non funzionano, qualsiasi algoritmo di bruteforce anche stupido queste sostituzioni le sa fare.

Il bruteforce non si fa sui singoli bit della stringa della password, non ha alcun senso, noi abbiamo un informazione in più che ci consente di risparmiarci molti calcoli e probabilisticamente avere un risultato migliore, sappiamo che quella sequenza di bit in realtà è una stringa in ASCII o UTF-8 e proviamo quindi combinazioni di lettere e numeri e simboli speciali che hanno un senso, e fidati sono molti meno dei caratteri ammessi dall'ASCII o addirittura l'unicode.

sardus

la mia è di 13 caratteri. quante ore...?

Dea1993

puoi scegliere password che sembrano casuali, ma per te non lo sono, a quel punto la password non è nei dizionari, quindi l'algoritmo di bruteforce deve trovarla per forza tentando tutte le combinazioni possibili.
l'ASCII standard è a 7bit, ma viene usato l'ASCII esteso che apputno è da 8bit, non 7.
inoltre non può essere come dici te ASCII standard perchè altrimenti non tornerebbero i conti con cio che dice l'rticolo, ovvero che la password è lunga mediamente 40bit, visto che 40 non è divisibile per 7, vuol dire che ogni carattere non "pesa" 7bit, ma 8 (questo esclude anche UTF-16).
quindi per forza di cose si tratta o di ASCII-esteso o del più recente standard UTF-8.

I bit di entropia non dipendono dalla lunghezza della password ma dal modo con cui la generi


ma qui l'articolo parla della password scelta che è lunga 40bit mediamente, non della password cifrata tramite SHA-1 che invece ha lunghezza fissa

Dea1993

si ma l'articolo dice che la password è lunga 40bit, il digest ovviamente invece ha sempre la stessa lunghezza.
ovvio che indipendentemente dalla frase la lunghezza del digest è sempre la stessa, ma è più complicato fare il bruteforce per tornare indietro, ovvero dalla password cifrata alla password in chiaro

ale

Non si calcolano così i bit di entropia delle password, a parte che l'ASCII standard è a 7 bit e non a 8, e a parte che ci sono anche dentro l'ASCII tanti caratteri che uno non può nemmeno mettere nelle password, per cui i bit di entropia saranno circa 6 a carattere, il discorso è che nessuno imposta password perfettamente casuali, sarebbero quei bit di entropia se facessi generare la password ad un generatore random, e poi chi se la ricorda ?

I bit di entropia non dipendono dalla lunghezza della password ma dal modo con cui la generi, per cui una password anche lunga ma se generata in modo stupido tipo nome seguito da anno di nascita viene trovata in pochi secondi da un algoritmo di bruteforce un tantino intelligente che usa delle tecniche furbe.

LordRed

Grazie per la conferma

Davide Gardenal

Non funziona esattamente così lo sha-1 è una funzione di hashing quindi prende una sequenza di bit, che può essere lunga quanto si vuole, e genera una stringa con una lunghezza fissa. Esempio se io ho un carattere o di 1 milione genererà sempre la stessa lunghezza

Dea1993

1 carattere = 1byte = 8bit => 40bit = 5 caratteri

stima che una password è lunga mediamente 40 bit, ed è già una stima piuttosto ottimistica


secondo me avete un po toppato a scrivere... mi pare impensabile che nel 2018, usare una master password di 5 caratteri è considerato ottimistico... minimo minimo sono 6 lettere le password, e comunque molti usano password da 8 caratteri in su.
a parte questo... la master password la usano in pochi (è più una scocciatura che reale necessità, per la maggior parte di utenti), quindi quei pochi che la usano, sono utenti consapevoli, sanno cosa è la crittografia, sanno cosa significa tenere al sicuro le proprie password (sennò non la userebbero) di conseguenza mi aspetto che questi utenti sappiano utilizzare una password sicura da 10 o più caratteri quindi 80bit.
comunque se hanno gia pensato di abbandonare la master password per lockbox, mi pare anche normale che non perdano tempo a fixare questa debolezza.

Dea1993

la master password è quella che ti cifra in locale le password, non c'entra niente l'account online per sync.

Alessio Ferri

Chi usa una master password da 5 caratteri?
40 bit = 5 caratteri.
Se fossero 8 che sono un requisito minimo tentativi dovrebbero essere 2^63, tutto un altro discorso.

LordRed

Prova a ragionare

Moveon0783 (rhak)

Ah ok.

Andrej Peribar

Spero serva ad affrettare mozilla ad aggiornare il protocollo.

A prescinde dalle attenuanti che possono avere

Andrej Peribar

Ed è solo uno dei potenziali esempi che si possono fare.

takaya todoroki

come dico sotto il punto chiave è che SHA-1 è un algoritmo per cui solo recentemente sono stati trovati metodi per accorciare enormemente i calcoli.
Quindi sono scusati per 9 anni fa, ma non per come si sono dimenticati di aggiornare dopo che sono uscite le magagne.

Sep

Ok, con 10 minuti ho sparato un numero a caso, ma in realtà ne sono 25 dato che le prestazioni non raddoppiano ogni anno, non cambia poi molto. Il punto è che anche ci fossero volute 4-5 ore parliamo sempre di un sistema di sicurezza inadeguato

takaya todoroki

basta vedere come la gente si auto nomina avvocato delle varie multinazionali pur di non ammettere i difetti dell'oggetto che ha acquistato ;)

Andrej Peribar

LOL.
Dai si serio.

Le persone possono accettare ogni sopruso tranne quello di ammettere a loro stesse che sono state raggirate.

È la prima regola delle truffe, poi è stata usata dei mercati

Paolo

Non è la stessa, se non imposti una master password su firefox puoi vedere le password in chiaro senza digitare nulla. La password dell'account serve a sincronizzarlo tra i vari dispositivi.

Moveon0783 (rhak)

E che ne so.

Moveon0783 (rhak)

Appunto. E qual è se non quella del tuo account?

ferragno

quindi mi posso far pagare x usare facebook...mmmmm

mail9000it

NO, la master password non è quella dell'account.
La master password è la password che server per accedere all'archivio delle password memorizzate nel browser.

Pietro S.

Concordo in pieno!!!! Il grosso di quelli che postano su Fb sono una manica di capre!!!!

lillo

stiamo dicendo la stessa cosa

qandrav

"non è obbligatorio avere accesso fisico alla macchina."

no ok ma se "entri" usando altro (tr ojan, phising) eccetera è un'altra cosa

takaya todoroki

no beh, la segnalazione gliela hanno fatta 9 anni fa e sta ancora lì,

Diciamo che 9 anni fa non era percepita con falla, poerò niente vieta di riverificare tutte le parti che usano crittografia ogni due o tre anni eh, i programmi tipo PGP e veracrypt lo fanno di continuo

lillo

si si.. so la legge di Moore.. criticavo il suo modo di fare considerazioni.. che va per sottrazione.. anche perché vorrebbe dire che fra un anno si fa in 0 minuti..
inoltre appunto "solo recentemente sono stati trovati i metodi" , quindi confermi che il titolo di 9 anni fa è decisamente pompato..

MasterBlatter

inoltre si parla di password corte

takaya todoroki

e anche in quel caso molti si metterebbero a difendere chi gli ha dato gli schiaffi ;)

takaya todoroki

Sarebbe ogni anno e mezzo, ma aggiungi che
-ora questi calcoli si fanno con le GPU mentre 9 anni fa con la CPU, quindi è roba non paragonabile.

-si parla di SHA-1, algoritmo per cui solo recentemente sono stati trovati metodi per accorciare enormemente i calcoli.

saetta

Tnks

PCusen

Esatto. Brutto da dire ma l'essere umano capisce solo gli schiaffi in faccia.

saetta

Ma tu credi che la cacca abbia coscienza di sé una volta nella fogna?

lillo

se le prestazioni ogni anno raddoppiano l'andamento è esponenziale.. e ciò che ora si fa in un minuto, 9 anni fa si faceva in 2^8= 256 minuti..

PCusen

Ma quando mai... Scommetto che il 99% degli utenti di fb non sa e non saprà mai nemmeno di cosa si tratta.

takaya todoroki

No, finchè non si colpisce in modo diretto e duro, la gente non capisce.

ciko

https:// techcrunch. com/2018/03/14/typingdna-authenticator-chrome/

ciko

https:// darkwebnews. com/anonymity-tools/tor/italy-agency-embraces-onion-services/

daniele

a minare password dopo questo articolo :S

ciko

https:// www. theguardian. com/news/2018/mar/18/facebook-cambridge-analytica-joseph-chancellor-gsr?CMP=Share_iOSApp_Other ecco

StriderWhite

Naaaaah, figurati.

StriderWhite

800 miliardi di caratteri. Almeno! :D

Il miglior cavo per ricarica e trasferimento dati | Video | #bestbuy

Effetto Iliad: le migliori tariffe degli altri operatori concorrenti entro 10 euro | Video

Come e perché smaltire rifiuti tecnologici: lunga vita al bidone barrato #report

WhatsApp vietato ai minori di 16 anni in Europa