Mucho hemos hablado en Omicrono de cómo debemos evitar las contraseñas más obvias y usadas, como “12345”; es mucho mejor usar una contraseña diferente para cada servicio, y usar un gestor de contraseñas, ya sea una extensión como LastPass o el que viene integrado en casi todos los navegadores.

Antes los navegadores guardaban las contraseñas como texto plano en un archivo; y obtenerlas era un juego de niños. Por eso, desde hace ya unos años navegadores como Firefox permiten usar una “contraseña maestra”; si la activamos en la configuración del navegador, esta contraseña se usa como base para cifrar todas las contraseñas de nuestras webs.

La seguridad de la contraseña maestra de Firefox, en entredicho

Sin embargo, ahora se ha revelado que esta implementación deja mucho que desear. Wladimir Palant es más famoso por ser el creador de AdBlock Plus, la popular extensión de bloqueo de anuncios.

En la última entrada de su blog se centra en la manera en la que Firefox protege nuestras contraseñas, y su conclusión no es tranquilizadora: la contraseña maestra no es un gran obstáculo si alguien quiere robar nuestras contraseñas.

firefox contrasena maestra 1

La función llamada sftkdb_passwordToKey() se encarga de cifrar la contraseña de una página web cuando la guardamos; el método consiste en aplicar SHA-1, usando un número aleatorio y nuestra contraseña maestra. A esto se le conoce como “hashing”, y SHA es uno de los algoritmos más usados por todo tipo de programas y webs.

firefox contrasena maestra 2

Hasta ahí todo bien, el problema es que sólo se usa una iteración de SHA-1; por lo tanto, el proceso es muy rápido, pero no tan seguro como si se repitiese durante cientos o miles de veces. Lo habitual es repetir el proceso durante decenas de miles de veces, e incluso hay servicios como LastPass que presumen de aplicarlo 100.000 veces.

Cómo es posible descifrar contraseñas de Firefox

Cuantas más aplicaciones, más lento es el proceso, pero también es más difícil obtener el dato original a base de fuerza bruta; es decir, probando una y otra vez hasta encontrar la solución correcta al cifrado.

gtx 1080 ti nvidia

De hecho, hace nueve años, cuando primero se implementó la contraseña maestra en Firefox, tal vez este método hubiera sido aceptable; pero en la actualidad, gracias a la potencia de las últimas GPUs, es factible usar el método de la fuerza bruta para “crackear” contraseñas cifradas por Firefox.

Una gráfica como la GTX 1080 de Nvidia es capaz de probar 8.500 millones de contraseñas cada segundo; así que sería posible descifrar nuestra contraseña en apenas un minuto de media.

lockbox firefox 1

Las buenas noticias es que Mozilla ya está trabajando en el sustituto de la contraseña maestra. Se llama Lockbox, y se trata de un nuevo gestor de contraseñas integrado en Firefox. Ya está en estado alpha, y se puede probar como una extensión.

Lamentablemente, aún no hay fecha definitiva para la integración de Lockbox en Firefox. Así que, por el momento, la recomendación es elegir una contraseña maestra larga y compleja, preferiblemente que no sea una palabra del diccionario.