Bleeping Computerは2018年3月18日(米国時間)、「Firefox Master Password System Has Been Poorly Secured for the Past 9 Years」において、Firefoxがローカルに保存するパスワードなどのデータをより安全に保持するための機能であるマスターパスワードがそれほど安全とはいえないと指摘した。現在のコンピューティングパワーを使うとブルートフォース攻撃によって1分以内にマスターパスワードを見つけることができると説明している。

  • Firefoxマスターパスワード機能の設定

    Firefoxマスターパスワード機能の設定

  • Firefoxマスターパスワード設定

    Firefoxマスターパスワード設定

この問題を指摘したのは人気の高い拡張機能であるAdBlock Plusエクステンションの開発者。この機能が導入された9年前にすでに同様の指摘が行われている(Bug 524403 - softtoken's master password KDF process should be stronger (currently easily brute forced due to low iteration count))ことも説明している。

ブルートフォース攻撃によって現実的な時間内でマスターパスワードを見つけ出すことができるとされているが、それでもマスターパスワードを使用したほうが安全性は高いとされている。強度を高めるための変更はそれほど難しくないと見られ、今後のアップデートで改善が実施されるかどうかが注目される。