Trình quản lý mật khẩu Kaspersky hoàn toàn không an toàn và mật khẩu của bạn có thể bị bẻ khóa

Vài ngày trước một vụ bê bối khủng khiếp đã được tạo ra trên mạng bởi một ấn phẩm do Donjon thực hiện (một công ty tư vấn bảo mật) trong đó về cơ bản đã thảo luận về các vấn đề bảo mật khác nhau của "Kaspersky Password Manager" đặc biệt là trong trình tạo mật khẩu của nó, vì nó đã chứng minh rằng mọi mật khẩu mà nó tạo ra đều có thể bị bẻ khóa bởi một cuộc tấn công bạo lực.

Và đó là nhà tư vấn bảo mật Donjon anh ấy phát hiện ra rằng Từ tháng 2019 năm 2020 đến tháng XNUMX năm XNUMX, Kaspersky Password Manager đã tạo mật khẩu có thể bị bẻ khóa trong vài giây. Công cụ này đã sử dụng một trình tạo số giả ngẫu nhiên đặc biệt không phù hợp cho các mục đích mật mã.

Các nhà nghiên cứu phát hiện ra rằng trình tạo mật khẩu nó có một số vấn đề và một trong những vấn đề quan trọng nhất là PRNG chỉ sử dụng một nguồn entropy Tóm lại, đó là các mật khẩu được tạo ra rất dễ bị tấn công và hoàn toàn không an toàn.

“Hai năm trước, chúng tôi đã xem xét Kaspersky Password Manager (KPM), một trình quản lý mật khẩu do Kaspersky phát triển. Kaspersky Password Manager là một sản phẩm lưu trữ an toàn mật khẩu và tài liệu trong một két an toàn được mã hóa và bảo vệ bằng mật khẩu. Két sắt này được bảo vệ bằng mật khẩu chính. Vì vậy, cũng giống như các trình quản lý mật khẩu khác, người dùng cần nhớ một mật khẩu duy nhất để sử dụng và quản lý tất cả các mật khẩu của mình. Sản phẩm sử dụng được cho các hệ điều hành khác nhau (Windows, macOS, Android, iOS, Web…) Dữ liệu được mã hóa có thể được đồng bộ hóa tự động giữa tất cả các thiết bị của bạn, luôn được bảo vệ bằng mật khẩu chính của bạn.

“Tính năng chính của KPM là quản lý mật khẩu. Một điểm mấu chốt với các trình quản lý mật khẩu là, không giống như con người, những công cụ này rất tốt trong việc tạo ra các mật khẩu mạnh và ngẫu nhiên. Để tạo mật khẩu mạnh, Kaspersky Password Manager phải dựa trên cơ chế tạo mật khẩu mạnh ”.

Đến vấn đề nó được gán chỉ số CVE-2020-27020, trong đó cảnh báo rằng "kẻ tấn công sẽ cần biết thêm thông tin (ví dụ: thời gian mật khẩu được tạo)" là hợp lệ, thực tế là mật khẩu Kaspersky rõ ràng kém an toàn hơn mọi người nghĩ.

"Trình tạo mật khẩu có trong Kaspersky Password Manager đã gặp phải một số vấn đề", nhóm nghiên cứu Dungeon giải thích trong một bài đăng hôm thứ Ba. “Điều quan trọng nhất là anh ta đã sử dụng PRNG không phù hợp cho các mục đích mật mã. Nguồn entropy duy nhất của nó là thì hiện tại. Bất kỳ mật khẩu nào bạn tạo có thể bị phá vỡ một cách tàn nhẫn trong vài giây. "

Dungeon chỉ ra rằng sai lầm lớn của Kaspersky là sử dụng đồng hồ hệ thống trong vài giây dưới dạng hạt giống trong trình tạo số giả ngẫu nhiên.

Jean-Baptiste Bédrune cho biết: “Điều này có nghĩa là mọi phiên bản của Kaspersky Password Manager trên thế giới sẽ tạo ra chính xác cùng một mật khẩu trong một giây nhất định,” Jean-Baptiste Bédrune nói. Theo ông, mỗi mật khẩu có thể là mục tiêu của một cuộc tấn công vũ phu ”. “Ví dụ: có 315,619,200 giây từ năm 2010 đến năm 2021, vì vậy KPM có thể tạo tối đa 315,619,200 mật khẩu cho một bộ ký tự nhất định. Một cuộc tấn công vũ phu trong danh sách này chỉ diễn ra trong vài phút. "

Các nhà nghiên cứu từ Dungeon kết luận:

“Kaspersky Password Manager đã sử dụng một phương pháp phức tạp để tạo mật khẩu của nó. Phương pháp này nhằm mục đích tạo mật khẩu khó bẻ khóa cho các hacker mật khẩu tiêu chuẩn. Tuy nhiên, phương pháp như vậy làm giảm độ mạnh của mật khẩu được tạo so với các công cụ chuyên dụng. Chúng tôi đã chỉ ra cách tạo mật khẩu mạnh bằng cách sử dụng KeePass làm ví dụ: các phương pháp đơn giản như rút thăm trúng thưởng là an toàn, ngay sau khi bạn thoát khỏi "thiên vị mô-đun" trong khi xem một chữ cái trong một phạm vi ký tự nhất định.

“Chúng tôi cũng đã phân tích PRNG của Kaspersky và cho thấy rằng nó rất yếu. Cấu trúc bên trong của nó, một cơn lốc xoáy Mersenne từ thư viện Boost, không thích hợp để tạo tài liệu mật mã. Nhưng lỗ hổng lớn nhất là PRNG này đã được tạo hạt giống với thời gian hiện tại, tính bằng giây. Điều này có nghĩa là mỗi mật khẩu được tạo bởi các phiên bản dễ bị tấn công của KPM có thể bị giả mạo tàn nhẫn trong vài phút (hoặc một giây nếu bạn biết gần đúng về thời gian tạo).

Kaspersky được thông báo về lỗ hổng bảo mật vào tháng 2019 năm 2020 và phát hành phiên bản vá lỗi vào tháng 27 cùng năm. Vào tháng 2021 năm XNUMX, người dùng được thông báo rằng một số mật khẩu sẽ phải được tạo lại và Kaspersky đã công bố lời khuyên bảo mật của mình vào ngày XNUMX tháng XNUMX năm XNUMX:

“Tất cả các phiên bản công khai của Kaspersky Password Manager chịu trách nhiệm về vấn đề này hiện đã có phiên bản mới. Công ty bảo mật cho biết lôgic tạo mật khẩu và cảnh báo cập nhật mật khẩu cho các trường hợp mật khẩu được tạo có thể không đủ mạnh ”

Fuente: https://donjon.ledger.com


Nội dung bài viết tuân thủ các nguyên tắc của chúng tôi về đạo đức biên tập. Để báo lỗi, hãy nhấp vào đây.

2 bình luận, để lại của bạn

Để lại bình luận của bạn

địa chỉ email của bạn sẽ không được công bố. Các trường bắt buộc được đánh dấu bằng *

*

*

  1. Chịu trách nhiệm về dữ liệu: Miguel Ángel Gatón
  2. Mục đích của dữ liệu: Kiểm soát SPAM, quản lý bình luận.
  3. Hợp pháp: Sự đồng ý của bạn
  4. Truyền thông dữ liệu: Dữ liệu sẽ không được thông báo cho các bên thứ ba trừ khi có nghĩa vụ pháp lý.
  5. Lưu trữ dữ liệu: Cơ sở dữ liệu do Occentus Networks (EU) lưu trữ
  6. Quyền: Bất cứ lúc nào bạn có thể giới hạn, khôi phục và xóa thông tin của mình.

  1.   luix dijo

    Mật khẩu giống như khóa móc: không có một khóa nào an toàn 100%, nhưng mật khẩu càng phức tạp thì thời gian và nỗ lực càng lớn.

  2.   ArtEze dijo

    Khá khó tin, nhưng bất cứ ai không có quyền truy cập vào máy tính của cô ấy thậm chí không thể truy cập vào giáo viên. Hiện tại, mọi người đều có máy tính của riêng mình, trừ khi một người bạn của ai đó đến nhà họ và tình cờ phát hiện ra rằng họ đã cài đặt chương trình đó.

    Họ đã may mắn có được mã nguồn của chương trình để có thể hiểu cách chúng được tạo ra, nếu nó là một hệ nhị phân thì trước tiên nó phải được dịch ngược, điều này rất khó, không nhiều người hiểu được ngôn ngữ bit, hoặc trực tiếp bằng bạo lực mà không hiểu cách nó hoạt động.