Kaspersky का पासवर्ड मैनेजर बिल्कुल भी सुरक्षित नहीं था और आपके पासवर्ड को क्रैक किया जा सकता था

कुछ दिनों पहले डोनजोन द्वारा किए गए एक प्रकाशन द्वारा नेट पर एक जबरदस्त घोटाला स्थापित किया गया था (एक सुरक्षा परामर्श) जिसमें मूल रूप से "कैस्पर्सकी पासवर्ड मैनेजर" के विभिन्न सुरक्षा मुद्दों पर चर्चा की विशेष रूप से इसके पासवर्ड जनरेटर में, क्योंकि यह प्रदर्शित करता है कि इसके द्वारा उत्पन्न प्रत्येक पासवर्ड को एक क्रूर बल के हमले से क्रैक किया जा सकता है।

और यह है कि सुरक्षा परामर्श डोनजोन उसे पता चला मार्च 2019 और अक्टूबर 2020 के बीच, Kaspersky Password Manager जेनरेट किए गए पासवर्ड जिन्हें सेकंडों में क्रैक किया जा सकता है। उपकरण ने एक छद्म यादृच्छिक संख्या जनरेटर का उपयोग किया जो क्रिप्टोग्राफिक उद्देश्यों के लिए विलक्षण रूप से अनुपयुक्त था।

शोधकर्ताओं ने पाया कि पासवर्ड जनरेटर इसमें कई समस्याएं थीं और सबसे महत्वपूर्ण में से एक यह थी कि पीआरएनजी ने केवल एक एन्ट्रॉपी स्रोत का उपयोग किया था संक्षेप में, यह था कि उत्पन्न पासवर्ड असुरक्षित थे और बिल्कुल भी सुरक्षित नहीं थे।

"दो साल पहले, हमने Kaspersky Password Manager (KPM) की समीक्षा की, जो Kaspersky द्वारा विकसित एक पासवर्ड मैनेजर है। Kaspersky Password Manager एक ऐसा उत्पाद है जो सुरक्षित रूप से पासवर्ड और दस्तावेज़ों को एक एन्क्रिप्टेड और पासवर्ड-संरक्षित तिजोरी में संग्रहीत करता है। यह तिजोरी एक मास्टर पासवर्ड द्वारा सुरक्षित है। इसलिए, अन्य पासवर्ड प्रबंधकों की तरह, उपयोगकर्ताओं को अपने सभी पासवर्ड का उपयोग और प्रबंधन करने के लिए एक ही पासवर्ड याद रखना होगा। उत्पाद विभिन्न ऑपरेटिंग सिस्टम (विंडोज, मैकओएस, एंड्रॉइड, आईओएस, वेब…) के लिए उपलब्ध है, एन्क्रिप्टेड डेटा को आपके सभी उपकरणों के बीच स्वचालित रूप से सिंक्रनाइज़ किया जा सकता है, हमेशा आपके मास्टर पासवर्ड द्वारा संरक्षित किया जाता है।

"केपीएम की मुख्य विशेषता पासवर्ड प्रबंधन है। पासवर्ड प्रबंधकों के साथ एक महत्वपूर्ण बिंदु यह है कि, मनुष्यों के विपरीत, ये उपकरण मजबूत, यादृच्छिक पासवर्ड बनाने में अच्छे हैं। मजबूत पासवर्ड बनाने के लिए, Kaspersky पासवर्ड मैनेजर को मजबूत पासवर्ड बनाने के लिए एक तंत्र पर भरोसा करना चाहिए ”।

समस्या के लिए सूचकांक CVE-2020-27020 . सौंपा, जहां चेतावनी है कि "एक हमलावर को अतिरिक्त जानकारी जानने की आवश्यकता होगी (उदाहरण के लिए, पासवर्ड उत्पन्न होने का समय)" मान्य है, तथ्य यह है कि कास्पर्सकी पासवर्ड लोगों के विचार से स्पष्ट रूप से कम सुरक्षित थे।

"कैस्पर्सकी पासवर्ड मैनेजर में शामिल पासवर्ड जनरेटर को कई समस्याओं का सामना करना पड़ा है," डंगऑन रिसर्च टीम ने मंगलवार को एक पोस्ट में समझाया। "सबसे महत्वपूर्ण बात यह है कि वह क्रिप्टोग्राफिक उद्देश्यों के लिए अनुचित पीआरएनजी का उपयोग कर रहा था। इसकी एन्ट्रापी का एकमात्र स्रोत वर्तमान काल था। आपके द्वारा बनाया गया कोई भी पासवर्ड सेकंडों में क्रूरता से तोड़ा जा सकता है।"

कालकोठरी बताते हैं कि कास्परस्की की बड़ी गलती सिस्टम घड़ी का उपयोग कर रही थी सेकंड में एक छद्म यादृच्छिक संख्या जनरेटर में बीज के रूप में।

"इसका मतलब है कि दुनिया में Kaspersky Password Manager का हर उदाहरण किसी दिए गए सेकंड में बिल्कुल वही पासवर्ड जेनरेट करेगा," जीन-बैप्टिस्ट बेड्र्यून कहते हैं। उनके अनुसार, प्रत्येक पासवर्ड एक क्रूर बल के हमले का लक्ष्य हो सकता है ”। "उदाहरण के लिए, 315,619,200 और 2010 के बीच 2021 सेकेंड हैं, इसलिए केपीएम किसी दिए गए वर्ण सेट के लिए अधिकतम 315,619,200 पासवर्ड उत्पन्न कर सकता है। इस सूची पर एक क्रूर बल के हमले में केवल कुछ मिनट लगते हैं।"

के शोधकर्ता कालकोठरी ने निष्कर्ष निकाला:

"कैस्पर्सकी पासवर्ड मैनेजर ने अपने पासवर्ड बनाने के लिए एक जटिल विधि का इस्तेमाल किया। इस पद्धति का उद्देश्य मानक पासवर्ड हैकर्स के लिए हार्ड-टू-क्रैक पासवर्ड बनाना था। हालांकि, इस तरह की विधि समर्पित टूल की तुलना में जेनरेट किए गए पासवर्ड की ताकत को कम कर देती है। हमने उदाहरण के रूप में KeePass का उपयोग करके मजबूत पासवर्ड उत्पन्न करने का तरीका दिखाया है: जैसे ही आप किसी दिए गए वर्ण श्रेणी में एक अक्षर को देखते हुए "मॉड्यूलस पूर्वाग्रह" से छुटकारा पाते हैं, स्वीपस्टेक्स जैसी सरल विधियां सुरक्षित हैं।

"हमने कास्परस्की के पीआरएनजी का भी विश्लेषण किया और दिखाया कि यह बहुत कमजोर था। इसकी आंतरिक संरचना, बूस्ट लाइब्रेरी से एक Mersenne बवंडर, क्रिप्टोग्राफिक सामग्री उत्पन्न करने के लिए उपयुक्त नहीं है। लेकिन सबसे बड़ी खामी यह है कि इस पीआरएनजी को वर्तमान समय के साथ सेकेंडों में सीड किया गया था। इसका मतलब यह है कि केपीएम के कमजोर संस्करणों द्वारा उत्पन्न प्रत्येक पासवर्ड को कुछ ही मिनटों में (या एक सेकंड में अगर आप पीढ़ी समय के बारे में जानते हैं तो) बेरहमी से छेड़छाड़ की जा सकती है।

Kaspersky को जून 2019 में भेद्यता के बारे में सूचित किया गया था और उसी वर्ष अक्टूबर में पैच संस्करण जारी किया था। अक्टूबर 2020 में, उपयोगकर्ताओं को सूचित किया गया था कि कुछ पासवर्डों को फिर से बनाना होगा, और कैस्पर्सकी ने 27 अप्रैल, 2021 को अपनी सुरक्षा सलाह प्रकाशित की:

"इस समस्या के लिए जिम्मेदार कैस्पर्सकी पासवर्ड मैनेजर के सभी सार्वजनिक संस्करणों में अब एक नया है। पासवर्ड जनरेशन लॉजिक और पासवर्ड अपडेट अलर्ट उन मामलों के लिए जहां जनरेट किया गया पासवर्ड शायद पर्याप्त मजबूत नहीं है ”, सुरक्षा कंपनी का कहना है

Fuente: https://donjon.ledger.com