開發者驚訝：火狐瀏覽器密碼保護機製太弱，卻一直用了九年

3月19日消息 一位安全研究人員發現，過去九年來，火狐瀏覽器一直在用過時的方案保護用戶的密碼。隻需要1分鍾，現在的GPU就可以攻破該保護方案。

據稱，Mozilla旗下的火狐瀏覽器和Thunderbird郵件客戶端會讓用戶設置一個主密碼，以提高用戶數據的安全性。但是該密碼一直使用SHA1加密，極易遭到破解。

獲悉，有意思的是，早在9年前，這一漏洞就被開發者發現並提出。但是該漏洞一直未得到解決。

“我查看了源代碼，發現了sftkdb_passwordToKey()函數。它應用了SHA-1哈希加密算法，將隨機鹽和用戶的真實密碼組成的字符串加密，形成密鑰。”這名開發者表示，“任何在網頁上設計過登錄功能的人，都會意識到其中的危險。”

為了更好地說明該問題，這名開發者還翻出了他九年前的錯誤報告。對此，Mozilla表示，他們不久就將推出新的密碼管理器Lockbox，屆時該問題將得到解決。Mozilla告訴用戶，他們可以通過設置更長、更複雜的主密碼，以提高安全性。