Descubierto un fallo que permite evadir la seguridad de la contraseña maestra de Firefox y Thunderbird

20 marzo, 2018
994 Visualizaciones

Se ha detectado un fallo de seguridad en el sistema de almacenamiento de contraseñas que ofrecen Firefox y Thunderbird a sus usuarios. Esta característica permite, mediante una contraseña maestra, cifrar las contraseñas guardadas en el navegador o cliente de correo, de forma que todas ellas queden protegidas. Sin embargo, se ha descubierto que el cifrado no se realiza de forma segura, lo que permite romper la contraseña maestra.

Recursos afectados

Aquellos usuarios que utilicen el navegador Mozilla Firefox, o el cliente de correo Thunderbird, y almacenen sus contraseñas en los mismos.

Solución

Por el momento no hay disponible una actualización o parche de seguridad con el que se solucione este fallo. Desde Mozilla han anunciado que están trabajando en sustituir el gestor de contraseñas actual por uno nuevo más seguro, denominado LockBox, que estará disponible como una extensión para Firefox con su próxima actualización.

Hasta que se lance este nuevo gestor, se recomienda a los usuarios que se vean afectados que eliminen las contraseñas que tienen almacenadas en estos programas. Es importante que el usuario conozca estas contraseñas, ya que una vez eliminadas, no se podrán recuperar.

1. Abre Firefox.

2. Haz clic en Configuración y luego en Privacidad y seguridad.

3. Haz clic en el botón Cuentas guardadas….

  4. Si necesitas visualizar alguna de las contraseñas antes de eliminarlas, haz clic en el botón Mostrar contraseñas.

5. Haz clic en Eliminar todo y luego en Cerrar.

Para eliminar las contraseñas almacenadas en Thunderbird, se deben seguir los siguientes pasos:

1. Abre Thunderbird.

2. Haz clic en el botón Menú de la aplicación menu y selecciona Opciones. En la lista desplegable que aparece, selecciona de nuevo Opciones.

   3. Haz clic en el panel Seguridad y luego en la pestaña Contraseñas.

4. Haz clic en el botón Contraseñas guardadas….

  5. Si necesitas visualizar alguna de las contraseñas antes de eliminarlas, haz clic en el botón Mostrar contraseñas.

6. Haz clic en Eliminar todos y luego en Cerrar.

Para aquellos usuarios que deseen continuar empleando un gestor de contraseñas, se recomienda que utilicen un gestor que sea independiente del navegador. En nuestra sección de herramientas gratuitas te recomendamos algunos como:

· KeeWeb

· Password Boss

· Dashlane

Para aprender más, puedes encontrar en la sección ”Protégete” la guía sobre gestión de contraseñas.

Detalles

El fallo de seguridad fue detectado originalmente hace más de 9 años por un investigador de seguridad. Si bien este usuario reportó el problema a Mozilla, no se llevaron a cabo acciones oficiales para solucionarlo.

Este fallo se debe a que la contraseña maestra empleada para cifrar el resto de contraseñas almacenadas tanto en Firefox como en Thunderbird emplea un cifrado SHA-1. Actualmente este cifrado no se considera seguro, ya que a finales del año 2005 se encontraron varias vulnerabilidades con las que es posible romperlo.

Así mismo, el cifrado se ejecutaba una única vez, cuando se recomienda que se realicen por lo menos 10.000 iteraciones del mismo para que sea seguro. Por todo esto, un atacante podría descifrar la contraseña maestra en unos minutos con relativa facilidad.

Como ya se ha mencionado, desde Mozilla se lanzará el complemento LockBox para solventar este problema. Mientras tanto, se recomienda a los usuarios afectados eliminar las contraseñas que tengan almacenadas en estos programas, y emplear otros gestores de contraseñas que sean independientes del navegador.

Mantente informado de las noticias más relevantes en nuestro canal de Telegram

Te podría interesar

¿Qué consecuencias puede tener la filtración de datos de Facebook?
Actualidad
8 compartido1,245 visualizaciones
Actualidad
8 compartido1,245 visualizaciones

¿Qué consecuencias puede tener la filtración de datos de Facebook?

Aina Pou Rodríguez - 8 abril, 2021

Durante el fin de semana pasado  se filtraron en Internet los datos de más de 500 millones de usuarios de…

Deliveroo y Ironhack ofrecen más de 200 becas para formar talento digital
Actualidad
6 compartido936 visualizaciones
Actualidad
6 compartido936 visualizaciones

Deliveroo y Ironhack ofrecen más de 200 becas para formar talento digital

Alicia Burrueco - 7 octubre, 2019

Las becas, valoradas en 300.000€, permitirán cursar programas de Desarrollo Web, Diseño UX/UI y Data Analytics en los campus Ironhack…

Las 10 noticias más leídas de CyberSecurity News en junio de 2020
Actualidad
5 compartido2,421 visualizaciones
Actualidad
5 compartido2,421 visualizaciones

Las 10 noticias más leídas de CyberSecurity News en junio de 2020

Alicia Burrueco - 6 julio, 2020

Recopilamos las noticias más leídas de nuestra revista durante el mes de junio de 2020. ¡Recuerda lo más destacado de…

Deje un comentario

Su email no será publicado

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.