Beberapa hari yang lalu skandal luar biasa dibuat di internet oleh publikasi yang dibuat oleh Donjon (sebuah konsultan keamanan) di mana pada dasarnya membahas berbagai masalah keamanan "Kaspersky Password Manager" terutama di pembuat kata sandinya, karena menunjukkan bahwa setiap kata sandi yang dihasilkannya dapat diretas oleh serangan brute force.
Dan itu adalah konsultan keamanan Donjon dia menemukan itu Antara Maret 2019 dan Oktober 2020, Kaspersky Password Manager menghasilkan kata sandi yang dapat dipecahkan dalam hitungan detik. Alat ini menggunakan generator nomor pseudo-acak yang sangat tidak cocok untuk tujuan kriptografi.
Para peneliti menemukan bahwa pembuat kata sandi itu memiliki beberapa masalah dan salah satu yang paling penting adalah PRNG hanya menggunakan satu sumber entropi Singkatnya, kata sandi yang dihasilkan rentan dan sama sekali tidak aman.
“Dua tahun lalu, kami meninjau Kaspersky Password Manager (KPM), pengelola kata sandi yang dikembangkan oleh Kaspersky. Kaspersky Password Manager adalah produk yang menyimpan kata sandi dan dokumen dengan aman di brankas yang dienkripsi dan dilindungi kata sandi. Brankas ini dilindungi oleh kata sandi utama. Jadi seperti pengelola kata sandi lainnya, pengguna perlu mengingat satu kata sandi untuk menggunakan dan mengelola semua kata sandi mereka. Produk ini tersedia untuk sistem operasi yang berbeda (Windows, macOS, Android, iOS, Web…) Data terenkripsi dapat disinkronkan secara otomatis antara semua perangkat Anda, selalu dilindungi oleh kata sandi utama Anda.
“Fitur utama KPM adalah manajemen password. Poin kunci dengan pengelola kata sandi adalah, tidak seperti manusia, alat ini bagus dalam menghasilkan kata sandi yang kuat dan acak. Untuk menghasilkan kata sandi yang kuat, Kaspersky Password Manager harus mengandalkan mekanisme untuk menghasilkan kata sandi yang kuat ”.
Untuk masalah itu diberi indeks CVE-2020-27020, di mana peringatan bahwa "penyerang perlu mengetahui informasi tambahan (misalnya, waktu kata sandi dibuat)" valid, faktanya kata sandi Kaspersky jelas-jelas kurang aman daripada yang diperkirakan orang.
“Pembuat kata sandi yang disertakan dalam Kaspersky Password Manager mengalami beberapa masalah,” tim peneliti Dungeon menjelaskan dalam sebuah posting pada hari Selasa. “Yang paling penting adalah dia menggunakan PRNG yang tidak pantas untuk tujuan kriptografi. Satu-satunya sumber entropi adalah present tense. Kata sandi apa pun yang Anda buat dapat dibobol secara brutal dalam hitungan detik."
Dungeon menunjukkan bahwa kesalahan besar Kaspersky adalah menggunakan jam sistem dalam hitungan detik sebagai benih dalam generator nomor pseudo-acak.
"Ini berarti bahwa setiap contoh Kaspersky Password Manager di dunia akan menghasilkan kata sandi yang sama persis dalam hitungan detik," kata Jean-Baptiste Bédrune. Menurutnya, setiap password bisa menjadi target serangan brute force”. “Misalnya, ada 315,619,200 detik antara 2010 dan 2021, jadi KPM bisa menghasilkan maksimal 315,619,200 kata sandi untuk satu set karakter tertentu. Serangan brute force pada daftar ini hanya membutuhkan waktu beberapa menit."
Peneliti dari Dungeon menyimpulkan:
“Kaspersky Password Manager menggunakan metode yang rumit untuk menghasilkan kata sandinya. Metode ini ditujukan untuk membuat kata sandi yang sulit diretas untuk peretas kata sandi standar. Namun, metode seperti itu mengurangi kekuatan kata sandi yang dihasilkan dibandingkan dengan alat khusus. Kami telah menunjukkan cara membuat kata sandi yang kuat menggunakan KeePass sebagai contoh: metode sederhana seperti undian aman, segera setelah Anda menyingkirkan "bias modulus" sambil melihat huruf dalam rentang karakter tertentu.
“Kami juga menganalisis PRNG Kaspersky dan menunjukkan bahwa itu sangat lemah. Struktur internalnya, tornado Mersenne dari perpustakaan Boost, tidak cocok untuk menghasilkan materi kriptografi. Tetapi kelemahan terbesar adalah bahwa PRNG ini diunggulkan dengan waktu saat ini, dalam hitungan detik. Ini berarti bahwa setiap kata sandi yang dibuat oleh versi KPM yang rentan dapat dirusak secara brutal dalam hitungan menit (atau sedetik jika Anda mengetahui kira-kira waktu pembuatannya).
Kaspersky diberitahu tentang kerentanan pada Juni 2019 dan merilis versi patch pada Oktober di tahun yang sama. Pada Oktober 2020, pengguna diberi tahu bahwa beberapa kata sandi harus dibuat ulang, dan Kaspersky menerbitkan saran keamanannya pada 27 April 2021:
“Semua versi publik Kaspersky Password Manager yang bertanggung jawab atas masalah ini sekarang memiliki versi baru. Logika pembuatan kata sandi dan peringatan pembaruan kata sandi untuk kasus di mana kata sandi yang dihasilkan mungkin tidak cukup kuat ”, kata perusahaan keamanan
sumber: https://donjon.ledger.com
Kata sandi seperti gembok: tidak ada yang 100% aman, tetapi semakin rumit, semakin besar waktu dan usaha yang dibutuhkan.
Cukup luar biasa, tetapi siapa pun yang tidak memiliki akses ke komputernya bahkan tidak dapat menghubungi gurunya. Saat ini, setiap orang memiliki komputer sendiri, kecuali jika teman seseorang pergi ke rumah mereka dan kebetulan mereka menemukan bahwa mereka telah menginstal program itu.
Mereka cukup beruntung memiliki kode sumber program untuk dapat memahami bagaimana mereka dihasilkan, jika sudah biner harus didekompilasi terlebih dahulu, yang sulit, tidak banyak yang mengerti bahasa bit, atau langsung dengan cara brute force tanpa memahami cara kerjanya.