Кілька днів тому величезний скандал влаштував у мережі публікація Донжона (консультація з питань безпеки), в якій в основному обговорювали різні питання безпеки "Kaspersky Password Manager" особливо у своєму генераторі паролів, оскільки він продемонстрував, що кожен створений ним пароль може бути зламаний атакою грубої сили.
І це те, що консультант з питань безпеки Donjon він виявив це З березня 2019 року по жовтень 2020 року Kaspersky Password Manager згенеровані паролі, які можна зламати за лічені секунди. Інструмент використовував генератор псевдовипадкових чисел, який був особливо непридатний для криптографічних цілей.
Дослідники виявили, що генератор паролів у нього було кілька проблем, і однією з найважливіших було те, що PRNG використовував лише одне джерело ентропії Коротше кажучи, згенеровані паролі були вразливими і зовсім не безпечними.
«Два роки тому ми розглянули Kaspersky Password Manager (KPM), менеджер паролів, розроблений Kaspersky. Kaspersky Password Manager - це продукт, який безпечно зберігає паролі та документи у зашифрованому та захищеному паролем сейфі. Цей сейф захищений головним паролем. Отже, як і інші менеджери паролів, користувачі повинні пам’ятати один пароль, щоб використовувати та керувати усіма своїми паролями. Продукт доступний для різних операційних систем (Windows, macOS, Android, iOS, Web ...) Зашифровані дані можна автоматично синхронізувати між усіма вашими пристроями, завжди захищаючи своїм головним паролем.
«Головною особливістю KPM є управління паролями. Ключовим моментом у менеджерах паролів є те, що, на відміну від людей, ці інструменти добре генерують надійні випадкові паролі. Щоб генерувати надійні паролі, Kaspersky Password Manager повинен покладатися на механізм генерації надійних паролів ».
До проблеми присвоєно індекс CVE-2020-27020, де діє застереження, що "зловмиснику потрібно буде знати додаткову інформацію (наприклад, час створення пароля)", справа в тому, що паролі Касперського були явно менш безпечними, ніж думали люди.
"Генератор паролів, включений до Kaspersky Password Manager, зіткнувся з кількома проблемами", - пояснила дослідницька група Dungeon у своєму вівторку. «Найголовніше, що він використовував невідповідний PRNG для криптографічних цілей. Єдиним джерелом ентропії був теперішній час. Будь-який створений вами пароль може бути жорстоко зламаний за лічені секунди ".
Dungeon зазначає, що великою помилкою Касперського було використання системного годинника за лічені секунди як насіння в генераторі псевдовипадкових чисел.
"Це означає, що кожен екземпляр Kaspersky Password Manager у світі буде генерувати точно такий самий пароль протягом даної секунди", - говорить Жан-Батіст Бедруне. За його словами, кожен пароль може стати ціллю атаки грубої сили ». «Наприклад, між 315,619,200 і 2010 роком є 2021 315,619,200 XNUMX секунд, тому KPM може генерувати максимум XNUMX XNUMX XNUMX паролів для даного набору символів. Атака грубої сили в цьому списку займає лише кілька хвилин ".
Дослідники з Підземелля зробив висновок:
«Kaspersky Password Manager використовував складний метод для створення своїх паролів. Цей метод був спрямований на створення важко зламуваних паролів для стандартних хакерів. Однак такий метод зменшує міцність сформованих паролів у порівнянні зі спеціальними інструментами. Ми показали, як генерувати надійні паролі, використовуючи KeePass, як приклад: прості методи, такі як лотереї, безпечні, як тільки ви позбудетеся "модуляльного упередження", дивлячись на літеру в заданому діапазоні символів.
«Ми також проаналізували PRNG Касперського і показали, що він дуже слабкий. Його внутрішня структура, торнадо Мерсенна з бібліотеки Boost, не підходить для генерування криптографічного матеріалу. Але найбільший недолік полягає в тому, що цей PRNG був засіяний поточним часом у секундах. Це означає, що кожен пароль, згенерований уразливими версіями KPM, може бути жорстоко підроблений за лічені хвилини (або секунду, якщо ви приблизно знаєте час генерації).
Kaspersky був проінформований про вразливість у червні 2019 року та випустив версію виправлення в жовтні того ж року. У жовтні 2020 року користувачам повідомили, що деякі паролі доведеться регенерувати, і 27 квітня 2021 року Касперський опублікував свої рекомендації щодо безпеки:
«Усі загальнодоступні версії Kaspersky Password Manager, відповідальні за цю проблему, тепер мають нову. Логіка генерації пароля та попередження про оновлення пароля для випадків, коли сформований пароль, мабуть, недостатньо сильний », - каже охоронна компанія
Фуенте: https://donjon.ledger.com
Паролі схожі на навісні замки: не існує 100% безпечного, але чим складніший він, тим більший час і зусилля потрібно.
Досить неймовірно, але той, хто не має доступу до її комп’ютера, навіть не може потрапити до вчителя. У наш час у кожного є власний комп’ютер, якщо тільки чийсь друг не заходить до них додому і випадково не виявить, що у нього встановлена ця програма.
Їм пощастило мати вихідний код програми, щоб мати змогу зрозуміти, як вони були створені, якщо це був двійковий файл, його слід спочатку декомпілювати, що важко, мало хто розуміє бітову мову або безпосередньо за допомогою грубої сили без розуміння того, як це працює.