Una de las opciones de seguridad adicionales que nos ofrece tanto Firefox como Thunderbird es el uso de una “contraseña maestra“. Esta contraseña, que podemos configurar nosotros mismos desde su panel de opciones, nos permite cifrar todas las demás contraseñas guardadas en el navegador o en el cliente de correo de manera que todas ellas queden protegidas y nadie, sin dicha contraseña, pueda recuperarlas. O al menos así es como debería actuar.
Hace algunas horas se daba a conocer un fallo de seguridad en el uso de estas contraseñas maestras de las aplicaciones de Mozilla que, durante 9 años, ha estado poniendo en peligro nuestros datos. El fallo en cuestión se encuentra en que esta función emplea un algoritmo SHA-1 para cifrar las contraseñas, algoritmo inseguro y que puede permitir a cualquier usuario con malas intenciones descifrar estas contraseñas utilizando fuerza bruta sin demasiada dificultad.
Esta vulnerabilidad ya fue detectada y reportada hace 9 años por un investigador de seguridad, sin embargo, Mozilla abrió la incidencia en su día pero, desde entonces, Mozilla la ha dejado en el olvido, hasta ahora.
Mozilla acabará con este problema con el lanzamiento de Lockbox, su nuevo gestor de contraseñas
Tras más de 9 años protegiendo de manera inadecuada nuestras contraseñas, un investigador volvió a comentar en dicha vulnerabilidad, causando una nueva reacción por parte de Mozilla respecto a este problema de seguridad.
Tras 9 años de silencio, finalmente Mozilla ha vuelto a hablar sobre este fallo de seguridad, asegurando que tiene intenciones de ponerle solución en breve. Concretamente, Mozilla ha hecho referencia a Lockbox, el nuevo gestor de contraseñas que va a llegar a Firefox (y probablemente a Thunderbird) para que los usuarios puedan guardar sus contraseñas y utilizarlas de la manera más sencilla posible.
Este nuevo gestor de contraseñas se encuentra ya en fase de desarrollo, y cualquier usuario interesado puede probarlo descargando y compilando la extensión de Lockbox desde el siguiente enlace.
Sea seguro o inseguro, el uso de una contraseña maestra para proteger nuestras contraseñas es imprescindible, ya que, de lo contrario, cualquiera con acceso al equipo podría verlas sin ninguna dificultad. SHA-1, aunque permita descifrar las contraseñas sin ninguna dificultad, al menos aplica una capa de seguridad superficial a estas que ya obliga a realizar la tarea de descifrar estos datos.
Por el momento no se sabe exactamente cuándo llegará este gestor de contraseñas aportando la nueva capa de seguridad a las mismas, pero, según parece, Mozilla no tiene muchas intenciones se cambiar el actual algoritmo SHA-1 por otro, como Argon2, que impida que cualquiera pueda descifrar las contraseñas.