ผู้เชี่ยวชาญเตือนฟีเจอร์ Master Password ของ Firefox ไม่มั่นคงปลอดภัยเพียงพอ

March 20, 2018 Identity Management, Security, Vulnerability and Risk Management, Web Security

Wladimir Palant ผู้เขียน AdBlock Plus Extension ได้ออกมาเตือนว่าฟังก์ชัน Master Password (ตามภาพด้านล่าง) ใน Firefox และ Thunderbird ที่เอาไว้ใช้เพื่อเป็นกุญแจเข้ารหัส (Master password) เพื่อเข้ารหัส String รหัสผ่านของผู้ใช้ที่เก็บใน Browser หรือ Email Client อีกทีหนึ่ง มีจุดอ่อนจากฟังก์ชัน SHA-1 ที่แฮ็กเกอร์อาจจะทำ Brute-force เพื่อหา Master Password ได้ ซึ่งจุดอ่อนนี้มีผู้ใช้งานเตือนตั้งแต่ 9 ปีที่แล้วแต่ยังไม่ได้มีการแก้ไขจาก Firefox ตลอดเวลาที่ผ่านมา

Palant ได้พบจุดอ่อนของฟังก์ชัน sftkdb_passwordToKey() ที่ใช้เปลี่ยนรหัสผ่านไปเป็นกุญแจเข้ารหัสโดยวิธีการ SHA-1 เพื่อการ Hashing (อินพุตซ์ของฟังก์ชันเกิดจาก Salt แบบสุ่มและรหัสผ่านจริงๆ) พร้อมทั้งยังกล่าวว่า “ถ้าใครเคยออกแบบฟังก์ชันล็อกอินก็ต้องสังเกตเห็นความอ่อนแอนี้ทั้งนั้นแหละ”

โดยสิ่งที่เกิดขึ้นคือฟังก์ชันดังกล่าวมีการทำซ้ำแค่เพียงรอบเดียว ทั้งที่มีคำแนะนำการใช้งานเพื่อความมั่นคงปลอดภัยคือควรเรียกใช้ฟังก์ชัน 1 หมื่นครั้งเป็นอย่างน้อย เช่น โปรแกรม LastPass ตั้งค่าทำซ้ำถึง 1 แสนครั้ง โดยค่าการทำซ้ำที่ต่ำทำให้แฮ็กเกอร์สามารถทำการ Brute-forced หา Master Password ของผู้ใช้ได้ง่ายขึ้น จากนั้นก็สามารถนำไปใช้ถอดรหัสหารหัสผ่านอื่นๆ ที่ถูกเก็บอยู่ในฐานข้อมูลรหัสผ่านของ Firefox ได้ นอกจากนี้ Palant ได้ชี้ให้เห็นว่าแฮ็กเกอร์สามารถใช้ GPU เพื่อทำ Brute-forced หา Master Password ภายในเวลาไม่ถึงนาที

เมื่อ 9 ปีที่แล้วมีผู้ใช้งานชื่อ Justin Doiske ได้พบจุดอ่อนนี้แล้วแต่ทาง Firefox ไม่ได้มีการแก้ไขใดๆ อย่างไรก็ตามทางทีม Firefox เพิ่งจะตอบรับอย่างเป็นทางการในกรณีของ Palant หลังจากที่แจ้งเตือน ว่าทีมงานกำลังพัฒนา Extension ตัวใหม่อยู่ชื่อ Lockbox มาจัดการรหัสผ่านแทน โดยทาง Palant เองได้แนะให้ทีมวิศวกรหันไปใช้ไลบรารี่ Argon2 สำหรับทำ Hashing แทน SHA-1 แต่ทั้งนี้การเปิดใช้ Master Password ก็ยังดีกว่าไม่มีการปกป้องใดๆ เลย ดังนั้นผู้ใช้งานควรตั้ง Master Password ให้มีความซับซ้อนและความยาวเหมาะสมเพื่อเพิ่มเวลาในการทำ Brute-forced ได้ยากยิ่งขึ้น

ที่มา : https://www.bleepingcomputer.com/news/security/firefox-master-password-system-has-been-poorly-secured-for-the-past-9-years/ และ https://www.securityweek.com/firefox-fails-keeping-passwords-secure-developer-claims

Tags Firefox Master Password

About nattakon

จบการศึกษา ปริญญาตรีและโท สาขาวิศวกรรมคอมพิวเตอร์ KMITL เคยทำงานด้าน Engineer/Presale ดูแลผลิตภัณฑ์ด้าน Network Security และ Public Cloud ในประเทศ ปัจจุบันเป็นนักเขียน Full-time ที่ TechTalkThai

Check Also

Facebook เผยพบ Password ผู้ใช้งานถูกเก็บแบบ Plain Text หลายร้อยล้านราย ตอนนี้แก้ไขแล้ว

Facebook ได้ออกมาเผยว่าเมื่อเดือนมกราคม 2019 ที่ผ่านมา ทีมงานภายใน Facebook ได้มีการทำ Security Review และพบว่ามี Password ของผู้ใช้งานจำนวนหลายร้อยล้านรายการถูกเก็บเป็นแบบ Plain Text โดยมีพนักงานภายใน Facebook เท่านั้นที่สามารถเข้าถึงข้อมูลเหล่านี้ได้ ซึ่งปัจจุบันทาง Facebook ได้ดำเนินการแก้ไขปัญหาแล้วและมีแผนที่จะแจ้งเตือนลูกค้าผู้ใช้งาน ในขณะที่ KrebsOnSecurity ก็ได้ออกมาเปิดเผยข้อมูลเชิงลึกของเหตุครั้งนี้เพิ่มเติม

[CYBERSEC 2019] Fortinet แนะวิธีนำ OODA Loop มาปรับใช้ใน Cybersecurity

ภายใน CYBERSEC 2019 Presented by iThome ที่กำลังจัดขึ้น ณ เมืองไทเป ประเทศไต้หวันในขณะนี้ Fortinet ได้ออกมาเปิดเผยถึงวิธีการนำ OODA Loop มาปรับใช้กับมาตรการรักษาความมั่นคงปลอดภัยไซเบอร์เพื่อรับมือกับภัยคุกคามทั้งแบบ …

ผู้เชี่ยวชาญเตือนฟีเจอร์ Master Password ของ Firefox ไม่มั่นคงปลอดภัยเพียงพอ

Share this:

About nattakon

Check Also