Wladimir Palant ผู้เขียน AdBlock Plus Extension ได้ออกมาเตือนว่าฟังก์ชัน Master Password (ตามภาพด้านล่าง) ใน Firefox และ Thunderbird ที่เอาไว้ใช้เพื่อเป็นกุญแจเข้ารหัส (Master password) เพื่อเข้ารหัส String รหัสผ่านของผู้ใช้ที่เก็บใน Browser หรือ Email Client อีกทีหนึ่ง มีจุดอ่อนจากฟังก์ชัน SHA-1 ที่แฮ็กเกอร์อาจจะทำ Brute-force เพื่อหา Master Password ได้ ซึ่งจุดอ่อนนี้มีผู้ใช้งานเตือนตั้งแต่ 9 ปีที่แล้วแต่ยังไม่ได้มีการแก้ไขจาก Firefox ตลอดเวลาที่ผ่านมา

Palant ได้พบจุดอ่อนของฟังก์ชัน sftkdb_passwordToKey() ที่ใช้เปลี่ยนรหัสผ่านไปเป็นกุญแจเข้ารหัสโดยวิธีการ SHA-1 เพื่อการ Hashing (อินพุตซ์ของฟังก์ชันเกิดจาก Salt แบบสุ่มและรหัสผ่านจริงๆ) พร้อมทั้งยังกล่าวว่า “ถ้าใครเคยออกแบบฟังก์ชันล็อกอินก็ต้องสังเกตเห็นความอ่อนแอนี้ทั้งนั้นแหละ”
โดยสิ่งที่เกิดขึ้นคือฟังก์ชันดังกล่าวมีการทำซ้ำแค่เพียงรอบเดียว ทั้งที่มีคำแนะนำการใช้งานเพื่อความมั่นคงปลอดภัยคือควรเรียกใช้ฟังก์ชัน 1 หมื่นครั้งเป็นอย่างน้อย เช่น โปรแกรม LastPass ตั้งค่าทำซ้ำถึง 1 แสนครั้ง โดยค่าการทำซ้ำที่ต่ำทำให้แฮ็กเกอร์สามารถทำการ Brute-forced หา Master Password ของผู้ใช้ได้ง่ายขึ้น จากนั้นก็สามารถนำไปใช้ถอดรหัสหารหัสผ่านอื่นๆ ที่ถูกเก็บอยู่ในฐานข้อมูลรหัสผ่านของ Firefox ได้ นอกจากนี้ Palant ได้ชี้ให้เห็นว่าแฮ็กเกอร์สามารถใช้ GPU เพื่อทำ Brute-forced หา Master Password ภายในเวลาไม่ถึงนาที
เมื่อ 9 ปีที่แล้วมีผู้ใช้งานชื่อ Justin Doiske ได้พบจุดอ่อนนี้แล้วแต่ทาง Firefox ไม่ได้มีการแก้ไขใดๆ อย่างไรก็ตามทางทีม Firefox เพิ่งจะตอบรับอย่างเป็นทางการในกรณีของ Palant หลังจากที่แจ้งเตือน ว่าทีมงานกำลังพัฒนา Extension ตัวใหม่อยู่ชื่อ Lockbox มาจัดการรหัสผ่านแทน โดยทาง Palant เองได้แนะให้ทีมวิศวกรหันไปใช้ไลบรารี่ Argon2 สำหรับทำ Hashing แทน SHA-1 แต่ทั้งนี้การเปิดใช้ Master Password ก็ยังดีกว่าไม่มีการปกป้องใดๆ เลย ดังนั้นผู้ใช้งานควรตั้ง Master Password ให้มีความซับซ้อนและความยาวเหมาะสมเพื่อเพิ่มเวลาในการทำ Brute-forced ได้ยากยิ่งขึ้น
ที่มา : https://www.bleepingcomputer.com/news/security/firefox-master-password-system-has-been-poorly-secured-for-the-past-9-years/ และ https://www.securityweek.com/firefox-fails-keeping-passwords-secure-developer-claims