ຜູ້ຊ່ຽວຊານເຕືອນຄຸນນະສົມບັດ Master Password ຂອງ Firefox

ຜູ້ຊ່ຽວຊານເຕືອນຄຸນນະສົມບັດ Master Password ຂອງ Firefox ບໍ່ຫມັ້ນໃຈປອດໄພພຽງພໍ

Wladimir Palant ຜູ້ຂຽນ AdBlock Plus Extension ໄດ້ອອກມາເຕືອນວ່າຟັງຊັນ Master Password (ຕາມຮູບພາບດ້ານລຸ່ມ) ໃນ Firefox ແລະ Thunderbird ທີ່ເອົາໄວ້ໃຊ້ເພື່ອເປັນກຸນແຈເຂົ້າລະຫັດ (Master password) ເພື່ອເຂົ້າລະຫັດ String ລະຫັດຜ່ານຂອງຜູ້ໃຊ້ທີ່ເກັບໃນ Browser ຫຼື Email Client ອີກ, ມີຈຸດອ່ອນຈາກຟັງຊັນ SHA-1 ທີ່ແຮັກເກີອາດຈະສາມາດເຮັດ Brute-force ເພື່ອຫາ Master Password ໄດ້ ເຊິງຈຸດອ່ອນນີ້ມີຜູ້ໃຊ້ບອກຕັ້ງແຕ່ 9 ປີທີ່ແລ້ວ ແຕ່ຍັງບໍ່ໄດ້ມີການແກ້ໄຂຈາກ Firefox ຕະຫຼອດເວລາທີ່ຜ່ານມາ

Palant ໄດ້ເຫັນຈຸດອ່ອນຂອງຟັງຊັນ sftkdb_passwordToKey() ທີ່ໃຊ້ປ່ຽນລະຫັດຜ່ານໄປເປັນກຸນແຈເຂົ້າລະຫັດໂດຍວິທີການ SHA-1 ເພື່ອການ Hashing (ອິນພຸດຂອງຟັງຊັນເກີດຈາກ Salt ແບບສຸ່ມ ແລະ ລະຫັດຜ່ານແທ້) ພ້ອມທັງຍັງກ່າວວ່າ ” ຖ້າໃຜ ເຄີຍອອກແບບຟັງຊັນລ໋ອກອິນກະຕ້ອງສັງເກດເຫັນຄວາມອ່ອນແອນີ້ທັງນັ້ນ ”

ໂດຍສິ່ງທີ່ເກີດຂຶ້ນຄືຟັງຊັນດັງກ່າວມີການເຮັດຊໍ້າແຕ່ຮອບດຽວ ທັງທີ່ມີຄໍາແນະນໍາການໃຊ້ວຽກເພື່ອຄວາມຫມັ້ນຄົງປອດໄພຄືຄວນເອີ້ນໃຊ້ຟັງຊັນ 1 ຫມື່ນເທື່ອເປັນຢ່າງນ້ອຍ ເຊັ່ນໂປຣແກຣມ LastPass ຕັ້ງຄ່າເຮັດຊໍ້າເຖິງ 1 ແສນເທື່ອ ໂດຍຄ່າການເຮັດຊໍ້າທີ່ຕໍ່າເຮັດໃຫ້ແຮັກເກີສາມາດເຮັດການ Brute-forced ຫາ Master Password ຂອງຜູ້ໃຊ້ໄດ້ງ່າຍຂຶ້ນ ຈາກນັ້ນກໍ່ສາມາດນໍາໄປໃຊ້ຖອດລະຫັດຫາລະຫັດຜ່ານອື່ນໆ ທີ່ຖືກເກັບຢູ່ໃນຖານຂໍ້ມູນລະຫັດຜ່ານຂອງ Firefox ໄດ້, ນອກຈາກນີ້ Palant ໄດ້ບອກໃຫ້ຮູ້ວ່າແຮັກເກີສາມາດໃຊ້ GPU ເພື່ອເຮັດ Brute-forced ຫາ Master Password ພາຍໃນເວລາບໍ່ຮອດນາທີ

ຕອນ 9 ປີທີ່ກ່ອນ ມີຜູ້ໃຊ້ວຽກຊື່ Justin Doiske ໄດ້ພົບເຫັນຈຸດອ່ອນນີ້ແລ້ວແຕ່ທາງ Firefox ບໍ່ໄດ້ມີການແກ້ໄຂແຕ່ຢ່າງໃດ ຢ່າງໃດກໍຕາມກໍລະນີທິມ Firefox ຫາກະຕອບຮັບຢ່າງເປັນທາງການໃນກໍລະນີຂອງ Palant ຫຼັງຈາກທີ່ແຈ້ງເຕືອນ ວ່າທີມວຽກກໍາລັງພັດທະນາ Extension ໂຕໃໝ່ຢູ່ຊື່ Lockbox ມາຈັດການລະຫັດຜ່ານແທນ, ໂດຍທາງ Palant ເອງໄດ້ແນະນໍາ ໃຫ້ທີມວິສະວະກອນຫັນໄປໃຊ້ໄລບາລີ່ Argon2 ສໍາຫຼັບເຮັດ Hashing ແທນ SHA-1 ແຕ່ທັງນີ້ການເປີດໃຊ້ Master Password ກະຍັງດີກວ່າບໍ່ມີການປົກປ້ອງໃດໆເລີຍ ດັ່ງນັ້ນຜູ້ໃຊ້ວຽກຄວນຕັ້ງ Master Password ໃຫ້ມີຄວາມຊັບຊ້ອນ ແລະ ຄວາມຍາວເຫມາະສົມ ເພື່ອເພີ່ມເວລາໃນການເຮັດ Brute-forced ໄດ້ຍາກຂຶ້ນ.

ທີ່ມາຂອງຂ່າວ: www.bleepingcomputer.com ແລະ www.securityweek.com