Password manager di Firefox: master password indovinabile in pochi minuti

I browser web integrano un password manager ovvero un gestore delle credenziali di accesso per i vari siti web. Chrome, pur proteggendo l’accesso al password manager, non applica una cifratura sull’archivio delle password cosicché avviando un programma gratuito come WebBrowserPassView è immediato recuperare tutte le password memorizzate nel browser senza digitare alcuna parola chiave.
Per Google non è un problema: Il browser mostra la password celata da pallini o asterischi: non è un problema. La tesi dei tecnici di Mountain View è che chi ha la possibilità di accedere fisicamente alle informazioni memorizzate in un qualunque dispositivo può estrarre i dati altrui.

Il password manager di Mozilla Firefox, com’è noto, permette anche di proteggere l’archivio delle proprie credenziali con una master password (digitare about:preferences#privacy nella barra degli indirizzi).

In questo caso nomi utente e password gestiti da Firefox vengono automaticamente crittografati anche se comunque un aggressore potrebbe sferrare un attacco brute force per indovinare la master password.
Ne avevamo parlato quattro anni fa nell’articolo Recuperare password nel browser: come fare con Firefox, Chrome ed Internet Explorer.

Lo sviluppatore Wladimir Palant ha analizzato il codice sorgente di Firefox accendendo un faro sull’algoritmo crittografico usato dal browser di Mozilla per proteggere le password degli utenti.
Mozilla ha preferito puntare sulle performance consentendo una rapida codifica e decodifica delle credenziali memorizzate nel password manager di Firefox.
Palent ha però scoperto che utilizzando una singola scheda video NVidia GTX 1080 un aggressore può elaborare 8,5 miliardi di hash SHA-1 al secondo e, di conseguenza, violare la master password di Firefox (media complessità) in appena un minuto di tempo.

Il problema era noto a Mozilla già da molto tempo ma la potenza computazionale offerta dalle moderne GPU rende gli attacchi brute force alla portata di tutti.

Mozilla ha recentemente presentato la versione alpha di Lockbox, un password manager che prossimamente potrebbe sostituire quello attualmente integrato in Firefox.

In alternativa è possibile usare Kaspersky Password Manager (Salvare le password in sicurezza e inserirle in automatico nei form di login) oppure il software libero Keepass insieme con l’estensione Kee per Firefox: Gestione password: come farlo in sicurezza.