U gestore di e parolle d'intesa di Kaspersky ùn era mancu tuttu sicuru è e vostre password puderianu esse crepate

Pochi ghjorni fà un scandalu tremendu hè statu messu in rete da una publicazione fatta da Donjon (una cunsulenza di sicurità) in quale basicamente anu discututu parechji prublemi di sicurità di "Kaspersky Password Manager" in particulare in u so generatore di password, cumu hà dimustratu chì ogni password generata puderia esse cracked da un attaccu di forza bruta.

È hè chì u cunsultante di securità Donjon hà scupertu què Da marzu 2019 à uttrovi 2020, Kaspersky Password Manager password generate chì puderebbenu esse cracked in sicondi. U strumentu utilizava un generatore di numeri pseudo-aleatorii chì era singolarmente inadattu per scopi criptografici.

I ricercatori anu scupertu chì u generatore di password avia parechji prublemi è unu di i più impurtanti era chì PRNG utilizava solu una fonte d'entropia In breve, era chì e password generate eranu vulnerabili è micca sicuri.

«Dui anni fà, avemu rivisu Kaspersky Password Manager (KPM), un gestore di password sviluppatu da Kaspersky. Kaspersky Password Manager hè un pruduttu chì guarda in modu sicuru e password è i ducumenti in una cassetta sicura criptata è prutetta da password. Questa sicura hè prutetta da una password maestru. Cusì cum'è l'altri amministratori di password, l'utilizatori anu bisognu di ricurdà una sola password per aduprà è gestisce tutte e so password. U pruduttu hè dispunibule per diversi sistemi operativi (Windows, macOS, Android, iOS, Web ...) I dati criptati ponu esse sincronizzati automaticamente trà tutti i vostri dispositivi, sempre prutetti da a vostra password maestru.

"A caratteristica principale di KPM hè a gestione di e password. Un puntu chjave cù i gestiunari di password hè chì, à u cuntrariu di l'omu, sti strumenti sò boni à generà password forti è aleatorii. Per generà password forti, Kaspersky Password Manager deve cuntà nantu à un mecanismu per generà password forti ".

À u prublema assignatu l'indice CVE-2020-27020, induve l'avvertenza chì "un attaccante averia bisognu di cunnosce infurmazioni addiziunali (per esempiu, u tempu chì a password hè stata generata)" hè valida, u fattu hè chì e password Kaspersky eranu chjaramente menu sicure di ciò chì a ghjente pensava.

"U generatore di password inclusu in Kaspersky Password Manager hà scontru parechji prublemi", spiega a squadra di ricerca Dungeon in un post marti. "U più impurtante hè chì ellu utilizava un PRNG inappropriatu per scopi criptografici. A so sola fonte d'entropia era u presente. Ogni password chì creiate puderia esse brutalmente rotta in pochi secondi. "

Dungeon rimarca chì u grande sbagliu di Kaspersky era di aduprà u clock di u sistema in sicondi cum'è una semente in un generatore di numeri pseudo-aleatorii.

"Questu significa chì ogni istanza di Kaspersky Password Manager in u mondu genererà esattamente a stessa password in una siconda data", dice Jean-Baptiste Bédrune. Sicondu ellu, ogni password puderia esse u mira di un attaccu di forza bruta ". "Per esempiu, ci sò 315,619,200 secondi trà u 2010 è u 2021, cusì KPM puderia generà un massimu di 315,619,200 password per un ghjocu di caratteri datu. Un attaccu di forza bruta nant'à sta lista dura solu qualchi minutu. "

Circadori da Dungeon hà cunclusu:

«Kaspersky Password Manager hà utilizatu un metudu cumplessu per generà e so password. Stu metudu era destinatu à creà password difficiule da crepà per i pirati di password standard. Tuttavia, un tale metudu riduce a forza di i password generati paragunatu à strumenti dedicati. Avemu dimustratu cumu generà password forti cù KeePass per esempiu: metudi simplici cum'è lotterie sò sicuri, appena si sbarrazza di u "bias di modulus" mentre guardate una lettera in un intervallu di caratteri datu.

"Avemu ancu analizatu u PRNG di Kaspersky è dimustratu chì era assai debule. A so struttura interna, un tornatu Mersenne da a biblioteca Boost, ùn hè micca adatta per generà materiale criptograficu. Ma u più grande difettu hè chì questu PRNG hè statu piantatu cù u tempu attuale, in seconde. Ciò significa chì ogni password generata da versioni vulnerabili di KPM pò esse brutalmente manipulata in pochi minuti (o un secondu se cunniscite à pocu pressu u tempu di generazione).

Kaspersky hè statu infurmatu di a vulnerabilità in ghjugnu 2019 è hà publicatu a versione patch in uttrovi di u stessu annu. In uttrovi 2020, l'utenti sò stati informati chì alcune password avianu da esse rigenerate, è Kaspersky hà publicatu u so cunsigliu di sicurezza u 27 d'aprile 2021:

«Tutte e versioni publiche di Kaspersky Password Manager rispunsevuli di stu prublema ne anu avà una nova. Logica di generazione di password è alerta d'aghjurnamentu di password per i casi induve una password generata ùn hè forse micca abbastanza forte », dice a sucetà

source: https://donjon.ledger.com


U cuntenutu di l'articulu aderisce à i nostri principii di etica edituriale. Per signalà un errore cliccate quì.

2 cumenti, lasciate i toi

Lasciate u vostru cummentariu

U vostru indirizzu email ùn esse publicatu. campi, nicissarii sò marcati cù *

*

*

  1. Responsabile di i dati: Miguel Ángel Gatón
  2. Scopu di i dati: Cuntrolla SPAM, gestione di cumenti.
  3. Legitimazione: U vostru accunsentu
  4. Cumunicazione di i dati: I dati ùn seranu micca cumunicati à terzi, eccettu per obbligazione legale.
  5. Archiviazione di dati: Base di dati ospitata da Occentus Networks (UE)
  6. Diritti: In ogni mumentu pudete limità, recuperà è cancellà e vostre informazioni.

  1.   luix dijo

    E password sò cum’è i lucchetti: ùn ci hè micca una 100% sicura, ma più hè cumplessa, più grande hè u tempu è u sforzu necessariu.

  2.   ArtEze dijo

    Abbastanza incredibile, ma quellu chì ùn hà micca accessu à u so urdinatore ùn pò mancu accede à u prufessore. Oghje ghjornu, ognunu hà u so urdinatore, à menu chì un amicu di qualcunu vada in casa soia è per casu trovi chì u prugramma hè stallatu.

    Anu avutu a furtuna di avè u codice surghjente di u prugramma per esse capace di capisce cumu sò stati generati, se era statu un binariu, deve prima esse decompilatu, ciò chì hè difficiule, micca assai capiscenu a lingua bit, o direttamente per forza bruta senza capisce cumu funziona.