TECH NEWS MAGAZINE
Автор расширения AdBlock Plus Владимир Палант (Wladimir Palant) обнаружил, что браузер Firefox плохо шифрует сохраненные пароли. Для защиты пользовательских данных используется система мастер-пароля с применением хеширования SHA-1: при рекомендуемом значении в 10 000 его счетчик цикла равен 1. Для сравнения, в менеджере паролей LastPass используется алгоритм со значением 100 000.
Я заглянул в исходный код и нашел функцию sftkdb_passwordToKey(), которая применяет к паролю хеширование SHA-1. Любой, кто когда-либо создавал систему входа на сайт, увидит в этом серьезную проблему.
Небольшое количество циклов значительно облегчает злоумышленникам подбор [...]
