Диспетчер паролей Касперского был небезопасен, и ваши пароли могли быть взломаны

Несколько дней назад В сети разразился грандиозный скандал из-за публикации Донжона. (консультирование по вопросам безопасности), в котором в основном обсудили различные вопросы безопасности «Kaspersky Password Manager» особенно в его генераторе паролей, поскольку он продемонстрировал, что каждый созданный им пароль может быть взломан с помощью грубой силы.

И это то, что консультант по безопасности Донжон он обнаружил, что С марта 2019 г. по октябрь 2020 г. Kaspersky Password Manager сгенерированные пароли, которые можно взломать за секунды. Инструмент использовал генератор псевдослучайных чисел, который совершенно не подходил для криптографических целей.

Исследователи обнаружили, что генератор паролей у него было несколько проблем, и одна из самых важных заключалась в том, что PRNG использовал только один источник энтропии Короче говоря, сгенерированные пароли были уязвимы и совсем небезопасны.

«Два года назад мы рассмотрели Kaspersky Password Manager (KPM), менеджер паролей, разработанный Kaspersky. Kaspersky Password Manager - это продукт, который надежно хранит пароли и документы в зашифрованном и защищенном паролем сейфе. Сейф защищен мастер-паролем. Таким образом, как и другие менеджеры паролей, пользователям необходимо помнить один пароль, чтобы использовать и управлять всеми своими паролями. Продукт доступен для различных операционных систем (Windows, macOS, Android, iOS, Интернет…). Зашифрованные данные могут быть автоматически синхронизированы между всеми вашими устройствами, всегда защищены вашим мастер-паролем.

«Главная особенность KPM - управление паролями. Ключевым моментом в менеджерах паролей является то, что, в отличие от людей, эти инструменты хороши для создания надежных и случайных паролей. Для генерации надежных паролей Kaspersky Password Manager должен полагаться на механизм генерации надежных паролей ».

К проблеме ему присвоен индекс CVE-2020-27020, где оговорка о том, что «злоумышленнику потребуется знать дополнительную информацию (например, время создания пароля)», действительно, дело в том, что пароли Kaspersky были явно менее безопасными, чем думали люди.

«Генератор паролей, включенный в Kaspersky Password Manager, столкнулся с несколькими проблемами», - пояснила исследовательская группа Dungeon в своем сообщении во вторник. «Самое главное, что он использовал неподходящий ГПСЧ для криптографических целей. Единственным источником энтропии было настоящее время. Любой созданный вами пароль может быть взломан за секунды ».

Dungeon указывает, что большой ошибкой Касперского было использование системных часов. в секундах в качестве начального числа в генераторе псевдослучайных чисел.

«Это означает, что каждый экземпляр Kaspersky Password Manager в мире сгенерирует один и тот же пароль за определенную секунду», - говорит Жан-Батист Бедрун. По его словам, каждый пароль может стать целью атаки методом перебора ». «Например, между 315,619,200 и 2010 годом 2021 315,619,200 XNUMX секунд, поэтому KPM может сгенерировать максимум XNUMX XNUMX XNUMX паролей для данного набора символов. Атака методом грубой силы по этому списку занимает всего несколько минут ".

Исследователи Подземелье заключено:

«Kaspersky Password Manager использовал сложный метод генерации паролей. Этот метод был нацелен на создание сложных паролей для взлома стандартных паролей. Однако такой метод снижает надежность сгенерированных паролей по сравнению со специальными инструментами. Мы показали, как сгенерировать надежные пароли с помощью KeePass в качестве примера: простые методы, такие как розыгрыши, безопасны, если вы избавитесь от «модульного смещения» при просмотре буквы в заданном диапазоне символов.

«Мы также проанализировали ГПСЧ Касперского и показали, что он очень слабый. Его внутренняя структура, торнадо Мерсенна из библиотеки Boost, не подходит для генерации криптографического материала. Но самый большой недостаток заключается в том, что этот ГПСЧ был засеян текущим временем в секундах. Это означает, что каждый пароль, сгенерированный уязвимыми версиями KPM, можно жестоко подделать за считанные минуты (или секунду, если вы приблизительно знаете время генерации).

Касперский был проинформирован об уязвимости в июне 2019 года и выпустил патч-версию в октябре того же года. В октябре 2020 года пользователи были проинформированы о необходимости восстановления некоторых паролей, и 27 апреля 2021 года Kaspersky опубликовал свои рекомендации по безопасности:

«Во всех публичных версиях Kaspersky Password Manager, отвечающих за эту проблему, теперь есть новые. Логика генерации пароля и предупреждение об обновлении пароля для случаев, когда сгенерированный пароль, вероятно, недостаточно надежен », - заявляет компания по безопасности

источник: https://donjon.ledger.com


2 комментариев, оставьте свой

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован. Обязательные для заполнения поля помечены *

*

*

  1. Ответственный за данные: Мигель Анхель Гатон
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.

  1.   Люкс сказал

    Пароли похожи на висячие замки: не существует 100% защищенного, но чем он сложнее, тем больше времени и усилий требуется.

  2.   АртЭз сказал

    Довольно невероятно, но если у вас нет доступа к компьютеру, вы даже не сможете получить доступ к учителю. В настоящее время у каждого есть свой компьютер, если только друг кого-то не приходит к ним домой и случайно не обнаруживает, что у него установлена ​​эта программа.

    Им посчастливилось иметь исходный код программы, чтобы понять, как они были сгенерированы, если это был двоичный файл, его нужно сначала декомпилировать, что сложно, не многие понимают битовый язык или напрямую грубой силой. не понимая, как это работает.