Firefox usou uma proteção fraca para sua senha mestra nos últimos nove anos

Você tem o costume de guardar suas senhas automaticamente no Firefox? Bem, lamentamos informar que elas estão terrivelmente desprotegidas – e há um bom tempo. O fato é que tanto o navegador da Mozilla quanto o Thunderbird permitem o uso de uma senha mestra para sua comodidade; este sistema, porém, utiliza uma tecnologia de segurança SHA1, que pode ser quebrada por GPUs mais modernas em menos de 1 minuto.

Só isso já seria mais do que suficiente para deixar muita gente preocupada. Mas nada que não possa piorar: a falha, que foi apontada recentemente por Wladimir Palant (o desenvolvedor por traz da extensão AdBlock Plus), já havia sido relatada por ele para a Mozilla nada menos do que nove anos atrás.

“Quando eu olhei no código fonte, eu eventualmente achei a função sftkdb_passwordToKey() que converte uma senha em uma chave de encriptação através da aplicação de hashing SHA-1”, explicou ele. Palant ainda continua, explicando que GPUs são extremamente eficientes em quebrar essa proteção: “Qualquer um que já projetou uma função de login em um site provavelmente vai ver o perigo aqui.”

Problema a ser resolvido em breve

A boa notícia é que, após ressuscitar o relatório do bug, a Mozilla informou que isso deve ser corrigido em um futuro próximo – mais exatamente, quando a companhia lançar o Lockbox, seu novo gerenciador de senhas. Mas até lá, é bom tomar cuidado dobrado e trocar sua senha-mestra por uma muito mais complicada e longa.