Firefoxのマスターパスワードは、その気になれば1分で破れるそうです。
Wladimir Palant’s notes: Master password in Firefox or Thunderbird? Do not bother!
FirefoxのマスターパスワードはSHA-1で暗号化され、
login.jsonというファイルに保存されるようです。
このファイルの中の「sftkdb_passwordToKey()」を逆算すると
元のパスワードが解読できるそうです。
SHA-1は2005年に既に脆弱性が見つかり、
2010年までにSHA-2に移行するよう
アメリカ国立標準化技術研究所から勧告が出されています。
セキュリティ目的で新規採用すべきではないとも言われてます。
FirefoxがいつからSHA-1を使ってるかは不明。
まさか勧告が出されて以降に新規採用した訳ではないでしょう。
2005年以前から使ってるとしても、
今まで13年以上も放置してたんですね。
この脆弱性は既に9年前にも指摘があったようです。
一応、セキュリティを向上させるアドオンも出ています。
アドオンLockbox
にほんブログ村
Tweet
この記事のショートリンク
コメントを残す