一位安全研究人員發(fā)現(xiàn)，過(guò)去九年來(lái)，火狐瀏覽器一直在用過(guò)時(shí)的方案保護(hù)用戶的密碼。只需要1分鐘，現(xiàn)在的GPU就可以攻破該保護(hù)方案。

據(jù)稱，Mozilla旗下的火狐瀏覽器和Thunderbird郵件客戶端會(huì)讓用戶設(shè)置一個(gè)主密碼，以提高用戶數(shù)據(jù)的安全性。但是該密碼一直使用SHA1加密，極易遭到破解。

有意思的是，早在9年前，這一漏洞就被開(kāi)發(fā)者發(fā)現(xiàn)并提出。但是該漏洞一直未得到解決。

“我查看了源代碼，發(fā)現(xiàn)了sftkdb_passwordToKey()函數(shù)。它應(yīng)用了SHA-1哈希加密算法，將用戶的真實(shí)密碼加隨機(jī)鹽組成的字符串加密，形成密鑰。”這名開(kāi)發(fā)者表示，“任何在網(wǎng)頁(yè)上設(shè)計(jì)過(guò)登錄功能的人，都會(huì)意識(shí)到其中的危險(xiǎn)?！?/p>

為了更好地說(shuō)明該問(wèn)題，這名開(kāi)發(fā)者還翻出了他九年前的錯(cuò)誤報(bào)告。對(duì)此，Mozilla表示，他們不久就將推出新的密碼管理器Lockbox，屆時(shí)該問(wèn)題將得到解決。Mozilla告訴用戶，他們可以通過(guò)設(shè)置更長(zhǎng)、更復(fù)雜的主密碼，以提高安全性。