Buzz
Cả Firefox và Thunderbird cho phép người dùng đặt 'Mật khẩu chính' thông qua bảng điều khiển cài đặt. Mật khẩu này đóng vai trò là khóa mã hóa, dùng để mã hóa từng chuỗi mật khẩu mà người dùng lưu trong trình duyệt hoặc ứng dụng email của họ.
Gần đây, các chuyên gia đã phát hiện rằng hệ thống mật khẩu của Firefox Master bảo mật kém suốt 9 năm qua. Các điểm trình duyệt lưu trữ mật khẩu cục bộ bằng văn bản rõ ràng, tạo cơ hội cho phần mềm độc hại và kẻ tấn công để truy cập máy tính nạn nhân và đánh cắp thông tin.
Trong 9 năm qua, hệ thống mật khẩu của Firefox Master đã bộc lộ những yếu điểm nghiêm trọng về bảo mật
Tuy nhiên, theo Wladimir Palant, tác giả của tiện ích mở rộng AdBlock Plus, lược đồ mã hoá sử dụng trong tính năng master password khá yếu và có thể dễ bị tấn công bằng phương pháp Brute Force attack.
Quy trình mã hóa Master password sử dụng số vòng lặp SHA1 thấp.
Palant chia sẻ: 'Khi kiểm tra mã nguồn, tôi phát hiện rằng hàm sftkdb_passwordToKey() dùng để chuyển đổi mật khẩu [website] thành khóa mã hóa, sử dụng hàm băm SHA-1 cho một chuỗi có salt ngẫu nhiên và một master password thực'.
'Bất kỳ nhà thiết kế hàm đăng nhập trang web nào cũng sẽ thấy tín hiệu đỏ đầy rõ nét'.
Tín hiệu mà Palant nhấn mạnh là hàm SHA-1 với chỉ một vòng lặp, có nghĩa là áp dụng chỉ một lần. Trong khi ngành công nghiệp đề xuất tối thiểu 10,000 lần, các ứng dụng như LastPass thậm chí sử dụng giá trị 100,000.
Số vòng lặp thấp tạo cơ hội cho kẻ tấn công thực hiện tấn công master password theo cách Brute Force attack, sau đó giải mã các mật khẩu được lưu trữ trong cơ sở dữ liệu của Firefox hoặc Thunderbird.
Palant chỉ ra những tiến bộ gần đây trong công nghệ thẻ GPU, giúp kẻ tấn công dễ dàng đánh cắp master password trong thời gian ngắn, chưa đầy 1 phút.
Lần đầu tiên vấn đề được báo cáo là 9 năm trước đây
Palant không phải là người đầu tiên phát hiện ra vấn đề. Justin Dolske đã báo cáo vấn đề này cách đây 9 năm, ngay sau khi tính năng master password ra mắt.
Dolske cũng chỉ ra rằng số vòng lặp thấp là nguyên nhân chính của vấn đề liên quan đến master password. Mặc dù đã báo cáo cho Mozilla 9 năm trước, công ty không có bất kỳ động thái cụ thể trong nhiều năm qua.
Đến cuối tuần trước, khi Palant thông báo về lỗi, Mozilla đã đưa ra câu trả lời chính thức, cam kết khắc phục vấn đề bằng cách thêm các thành phần quản lý mật khẩu mới cho Firefox - được biết đến với tên mã Lockbox và sẽ trở thành một tiện ích mở rộng.
Việc sử dụng Master Password mang lại sự an toàn nhiều hơn so với việc chọn mật khẩu thay thế. Lựa chọn mật khẩu dài và phức tạp giúp giảm thiểu rủi ro tấn công. Để đảm bảo an toàn cho mật khẩu web, người dùng có thể sử dụng ứng dụng quản lý mật khẩu của bên thứ ba.
Quản lý mật khẩu cho mạng xã hội trên Firefox và các trình duyệt web khác trở nên đơn giản với tính năng tích hợp sẵn. Bạn có thể tham khảo bài viết quản lý mật khẩu trên Firefox để biết thêm chi tiết về cách thức này.
Palant cũng đề xuất giải pháp hiệu quả cho các kỹ sư Mozilla, đó là sử dụng thư viện Argon2 thay vì SHA1 cho hàm băm mật khẩu.
Vào cuối tháng này, NVIDIA công bố bản vá lỗi cho driver màn hình của Oculus Rift, giải quyết nhiều vấn đề còn tồn đọng như màn hình đen và tối ưu hóa hiệu suất. Người dùng Oculus Rift có thể chờ đợi cập nhật này vào cuối tháng hoặc tạm thời quay về driver 388.59.
