Keselamatan kata laluan dalam Firefox telah lemah selama 9 tahun

Dengan bahagian pasaran desktop sebanyak 11.5%, Mozilla Firefox tidak berada berdekatan dengan Google Chrome yang mempunyai bahagian pasaran sebanyak 67.45% tetapi Firefox ialah pelayar Desktop kedua paling popular. Ini, sudah tentu, bermakna ramai orang menggunakan Firefox sebagai penyemak imbas lalai mereka. Orang tersebut secara semula jadi akan menyimpan kata laluan mereka dalam Firefox dengan harapan bahawa kata laluan mereka disimpan selamat daripada capaian orang lain.

Tetapi telah didapati bahawa Firefox telah melindungi kata laluan penggunanya menggunakan skim yang kurang berkuasa dan lebih lama yang boleh digodam oleh pemproses yang lebih baharu dalam masa seminit. Isu ini telah diketahui oleh Wladimir Palant yang merupakan pengarang sambungan AdBlock Plus. Firefox dan Thunderbird Mozilla telah menggunakan Algoritma Hash Selamat 1 selama 9 tahun yang lalu untuk memastikan Kata Laluan Utama selamat. Kata Laluan Induk disediakan sebagai lapisan kedua kepada keselamatan tetapi SHA1 lebih terdedah kepada serangan.

Persoalan tentang menggunakan algoritma yang kurang selamat seperti SHA1 telah dikemukakan 9 tahun lalu apabila ia didedahkan tetapi tiada tindakan diambil ketika itu.

Palan selepas melihat ke dalam kod sumber berkata: “Saya akhirnya menemui fungsi sftkdb_passwordToKey() yang menukarkan [website] kata laluan ke dalam kunci penyulitan dengan menggunakan pencincangan SHA-1 pada rentetan yang terdiri daripada garam rawak dan kata laluan induk sebenar anda. Sesiapa sahaja yang pernah mereka bentuk fungsi log masuk pada tapak web mungkin akan melihat bendera merah di sini.”

Sebagai tindak balas kepada isu keselamatan, Mozilla berkata bahawa ia akan diperbaiki sebaik sahaja mereka melancarkan Lockbox yang merupakan alat pengurus kata laluan baharu mereka. Masih tiada jangka masa bila ia akan dilancarkan. Sehingga itu, pengguna Firefox boleh melaksanakan kata laluan Master yang lebih rumit untuk meningkatkan peluang mereka untuk tidak mendapat serangan keselamatan.

Leave a Reply

Your email address will not be published. Required fields are marked *