开发者惊讶：火狐浏览器密码保护机制太弱，却一直用了九年

IT之家3月19日消息 一位安全研究人员发现，过去九年来，火狐浏览器一直在用过时的方案保护用户的密码。只需要1分钟，现在的GPU就可以攻破该保护方案。

据称，Mozilla旗下的火狐浏览器和Thunderbird邮件客户端会让用户设置一个主密码，以提高用户数据的安全性。但是该密码一直使用SHA1加密，极易遭到破解。

IT之家获悉，有意思的是，早在9年前，这一漏洞就被开发者发现并提出。但是该漏洞一直未得到解决。

“我查看了源代码，发现了sftkdb_passwordToKey()函数。它应用了SHA-1哈希加密算法，将用户的真实密码加随机盐组成的字符串加密，形成密钥。”这名开发者表示，“任何在网页上设计过登录功能的人，都会意识到其中的危险。”

为了更好地说明该问题，这名开发者还翻出了他九年前的错误报告。对此，Mozilla表示，他们不久就将推出新的密码管理器Lockbox，届时该问题将得到解决。Mozilla告诉用户，他们可以通过设置更长、更复杂的主密码，以提高安全性。

广告声明：文内含有的对外跳转链接（包括不限于超链接、二维码、口令等形式），用于传递更多信息，节省甄选时间，结果仅供参考，IT之家所有文章均包含本声明。