Några dagar sen en enorm skandal skapades på nätet av en publikation gjord av Donjon (en säkerhetskonsult) där i princip diskuterade olika säkerhetsfrågor i "Kaspersky Password Manager" speciellt i dess lösenordsgenerator, eftersom det visade att varje lösenord det genererade kunde knäcks av en brute force attack.
Och det är säkerhetskonsultföretaget Donjon han upptäckte det Mellan mars 2019 och oktober 2020, Kaspersky Password Manager genererade lösenord som kan sprickas på några sekunder. Verktyget använde en pseudoslumpgenerator som var enstaka olämplig för kryptografiska ändamål.
Forskare upptäckte att lösenordsgeneratorn det hade flera problem och en av de viktigaste var att PRNG bara använde en entropikälla Kort sagt var det att de genererade lösenorden var sårbara och inte alls säkra.
”För två år sedan granskade vi Kaspersky Password Manager (KPM), en lösenordshanterare som utvecklats av Kaspersky. Kaspersky Password Manager är en produkt som säkert lagrar lösenord och dokument i ett krypterat och lösenordsskyddat värdeskåp. Detta värdeskåp skyddas av ett huvudlösenord. Så som andra lösenordshanterare måste användare komma ihåg ett enda lösenord för att kunna använda och hantera alla sina lösenord. Produkten är tillgänglig för olika operativsystem (Windows, macOS, Android, iOS, webb ...) Krypterad data kan synkroniseras automatiskt mellan alla dina enheter, alltid skyddad av ditt huvudlösenord.
“Huvudfunktionen i KPM är lösenordshantering. En viktig punkt för lösenordshanterare är att, till skillnad från människor, är dessa verktyg bra för att generera starka, slumpmässiga lösenord. För att skapa starka lösenord måste Kaspersky Password Manager förlita sig på en mekanism för att skapa starka lösenord ”.
Till problemet tilldelade indexet CVE-2020-27020, där förbehållet att "en angripare skulle behöva veta ytterligare information (till exempel när lösenordet genererades)" är giltigt, är faktum att Kaspersky-lösenord var klart mindre säkra än folk trodde.
"Lösenordsgeneratorn som ingår i Kaspersky Password Manager har stött på flera problem", förklarade Dungeon-forskargruppen i ett inlägg på tisdag. ”Det viktigaste är att han använde en olämplig PRNG för kryptografiska ändamål. Dess enda källa till entropi var nutid. Alla lösenord du skapar kan brytas brutalt på några sekunder. "
Dungeon påpekar att Kasperskys stora misstag var att använda systemklockan i sekunder som ett frö i en pseudoslumpgenerator.
"Detta innebär att varje förekomst av Kaspersky Password Manager i världen kommer att generera exakt samma lösenord under en viss sekund", säger Jean-Baptiste Bédrune. Enligt honom kan varje lösenord vara målet för en brute force attack ”. ”Det finns till exempel 315,619,200 2010 2021 sekunder mellan 315,619,200 och XNUMX, så KPM kan generera maximalt XNUMX XNUMX XNUMX lösenord för en viss teckenuppsättning. En brute force-attack på den här listan tar bara några minuter. "
Forskare från Dungeon avslutade:
”Kaspersky Password Manager använde en komplex metod för att generera sina lösenord. Denna metod syftade till att skapa svåra att knäcka lösenord för vanliga lösenordshackare. En sådan metod minskar dock styrkan hos de genererade lösenorden jämfört med dedikerade verktyg. Vi har visat hur man genererar starka lösenord med hjälp av KeePass som ett exempel: enkla metoder som tävlingar är säkra så snart du blir av med "modulus bias" medan du tittar på en bokstav i ett visst teckenintervall.
”Vi analyserade också Kasperskys PRNG och visade att det var mycket svagt. Dess interna struktur, en Mersenne-tornado från Boost-biblioteket, är inte lämplig för att generera kryptografiskt material. Men den största bristen är att denna PRNG såddes med den aktuella tiden, i sekunder. Detta innebär att varje lösenord som genereras av utsatta versioner av KPM kan manipuleras brutalt på några minuter (eller en sekund om du känner till genereringstiden ungefär).
Kaspersky informerades om sårbarheten i juni 2019 och släppte patchversionen i oktober samma år. I oktober 2020 informerades användarna om att vissa lösenord måste återskapas och Kaspersky publicerade sin säkerhetsrådgivning den 27 april 2021:
”Alla offentliga versioner av Kaspersky Password Manager som ansvarar för detta problem har nu fått en ny. Lösenordslogiklogik och lösenordsuppdateringsvarning för fall där ett genererat lösenord förmodligen inte är tillräckligt starkt, säger säkerhetsföretaget
Fuente: https://donjon.ledger.com
Lösenord är som hänglås: det finns inte ett 100% säkert, men ju mer komplex det är desto större tid och ansträngning krävs.
Ganska otroligt, men den som inte har tillgång till sin dator kan inte ens komma till läraren. Numera har alla sin egen dator, såvida inte någon kompis går till sitt hus och av en slump finner de att de har det programmet installerat.
De hade turen att ha källkoden till programmet för att kunna förstå hur de genererades, om det hade varit en binär måste den först dekompileras, vilket är svårt, inte många förstår bitarspråk, eller direkt med brute force utan förstå hur det fungerar.