Vor ein paar Tagen ein gewaltiger Skandal wurde im Netz durch eine Veröffentlichung von Donjon (eine Sicherheitsberatung), bei der grundsätzlich diskutierte verschiedene Sicherheitsaspekte von "Kaspersky Password Manager" insbesondere in seinem Passwort-Generator, da es zeigte, dass jedes von ihm generierte Passwort durch einen Brute-Force-Angriff geknackt werden kann.
Und es ist, dass der Sicherheitsberater Donjon er entdeckte das Zwischen März 2019 und Oktober 2020 wird Kaspersky Password Manager generierte Passwörter, die in Sekundenschnelle geknackt werden konnten. Das Tool verwendete einen Pseudo-Zufallszahlengenerator, der für kryptografische Zwecke einzigartig ungeeignet war.
Forscher haben herausgefunden, dass der Passwortgenerator es gab mehrere Probleme und eines der wichtigsten war, dass PRNG nur eine Entropiequelle verwendete Kurz gesagt, die generierten Passwörter waren angreifbar und überhaupt nicht sicher.
„Vor zwei Jahren haben wir Kaspersky Password Manager (KPM) überprüft, einen von Kaspersky entwickelten Passwort-Manager. Kaspersky Password Manager ist ein Produkt, das Passwörter und Dokumente sicher in einem verschlüsselten und passwortgeschützten Safe speichert. Dieser Safe ist durch ein Master-Passwort geschützt. Genau wie bei anderen Passwort-Managern müssen sich Benutzer also ein einziges Passwort merken, um alle ihre Passwörter zu verwenden und zu verwalten. Das Produkt ist für verschiedene Betriebssysteme erhältlich (Windows, macOS, Android, iOS, Web…) Verschlüsselte Daten können automatisch zwischen all Ihren Geräten synchronisiert werden, immer geschützt durch Ihr Master-Passwort.
„Das Hauptmerkmal von KPM ist die Passwortverwaltung. Ein wichtiger Punkt bei Passwort-Managern ist, dass diese Tools im Gegensatz zu Menschen gut darin sind, starke, zufällige Passwörter zu generieren. Um starke Kennwörter zu generieren, muss sich Kaspersky Password Manager auf einen Mechanismus zum Generieren starker Kennwörter verlassen ”.
Zum Problem es erhielt den Index CVE-2020-27020, wo der Vorbehalt gültig ist, dass "ein Angreifer zusätzliche Informationen (z.
"Der in Kaspersky Password Manager enthaltene Passwortgenerator ist auf mehrere Probleme gestoßen", erklärte das Dungeon-Forschungsteam am Dienstag in einem Beitrag. „Das Wichtigste ist, dass er ein unangemessenes PRNG für kryptografische Zwecke verwendet hat. Seine einzige Entropiequelle war das Präsens. Jedes von Ihnen erstellte Passwort könnte innerhalb von Sekunden brutal gebrochen werden."
Dungeon weist darauf hin, dass Kasperskys großer Fehler darin bestand, die Systemuhr zu verwenden in Sekunden als Seed in einem Pseudo-Zufallszahlengenerator.
"Das bedeutet, dass jede Instanz von Kaspersky Password Manager weltweit in einer bestimmten Sekunde genau das gleiche Passwort generiert", sagt Jean-Baptiste Bédrune. Ihm zufolge könnte jedes Passwort das Ziel eines Brute-Force-Angriffs sein“. „Zwischen 315,619,200 und 2010 liegen beispielsweise 2021 Sekunden, sodass KPM maximal 315,619,200 Passwörter für einen bestimmten Zeichensatz generieren könnte. Ein Brute-Force-Angriff auf diese Liste dauert nur wenige Minuten."
Forscher aus Dungeon schloss:
„Kaspersky Password Manager verwendet eine komplexe Methode, um seine Passwörter zu generieren. Diese Methode zielte darauf ab, schwer zu knackende Passwörter für Standard-Passwort-Hacker zu erstellen. Ein solches Verfahren reduziert jedoch die Stärke der generierten Passwörter im Vergleich zu dedizierten Tools. Wir haben am Beispiel von KeePass gezeigt, wie man starke Passwörter generiert: Einfache Methoden wie Gewinnspiele sind sicher, sobald man den "Modulus Bias" beim Betrachten eines Buchstabens in einem bestimmten Zeichenbereich loswird.
„Wir haben auch das PRNG von Kaspersky analysiert und gezeigt, dass es sehr schwach ist. Seine interne Struktur, ein Mersenne-Tornado aus der Boost-Bibliothek, ist nicht geeignet, kryptografisches Material zu generieren. Aber der größte Fehler ist, dass dieses PRNG mit der aktuellen Zeit in Sekunden gesät wurde. Dies bedeutet, dass jedes Passwort, das von anfälligen Versionen von KPM generiert wird, innerhalb von Minuten (oder einer Sekunde, wenn Sie die Generierungszeit ungefähr kennen) brutal manipuliert werden können.
Kaspersky wurde im Juni 2019 über die Sicherheitslücke informiert und veröffentlichte die Patch-Version im Oktober desselben Jahres. Im Oktober 2020 wurden Benutzer darüber informiert, dass einige Passwörter neu generiert werden müssten, und Kaspersky veröffentlichte am 27. April 2021 seine Sicherheitsempfehlung:
„Alle öffentlichen Versionen von Kaspersky Password Manager, die für dieses Problem verantwortlich sind, haben jetzt eine neue Version. Passwortgenerierungslogik und Passwortaktualisierungswarnung für Fälle, in denen ein generiertes Passwort wahrscheinlich nicht stark genug ist “, sagt das Sicherheitsunternehmen
Quelle: https://donjon.ledger.com