卡巴斯基密碼管理器根本不安全，您的密碼可能會被破解

幾天前 Donjon 發表的一篇文章在網上掀起了一場巨大的醜聞 （一家安全諮詢公司），其中基本上 討論了“卡巴斯基密碼管理器”的各種安全問題 特別是在它的密碼生成器中，因為它證明了它生成的每個密碼都可以被蠻力攻擊破解。

正是安全顧問 Donjon 他發現 2019 年 2020 月至 XNUMX 年 XNUMX 月期間，卡巴斯基密碼管理器 生成的密碼可以在幾秒鐘內破解。 該工具使用了一個偽隨機數生成器，該生成器非常不適合加密用途。

研究人員發現密碼生成器 它有幾個問題，其中一個最重要的問題是 PRNG 只使用了一個熵源 簡而言之，就是生成的密碼容易受到攻擊，而且根本不安全。

“兩年前，我們審查了卡巴斯基密碼管理器 (KPM)，這是一款由卡巴斯基開發的密碼管理器。 Kaspersky Password Manager 是一種產品，可將密碼和文檔安全地存儲在受密碼保護的加密保險箱中。 這個保險箱受主密碼保護。 因此，就像其他密碼管理器一樣，用戶需要記住一個密碼才能使用和管理他們的所有密碼。 該產品適用於不同的操作系統（Windows、macOS、Android、iOS、Web...）加密數據可以在您的所有設備之間自動同步，始終受您的主密碼保護。

“KPM 的主要功能是密碼管理。 密碼管理器的一個關鍵點是，與人類不同，這些工具擅長生成強大的隨機密碼。 要生成強密碼，卡巴斯基密碼管理器必須依賴一種生成強密碼的機制”。

到問題 它被分配了索引 CVE-2020-27020，“攻擊者需要知道額外信息（例如，生成密碼的時間）”的警告是有效的，但事實是卡巴斯基密碼顯然沒有人們想像的那麼安全。

“卡巴斯基密碼管理器中包含的密碼生成器遇到了幾個問題，”地牢研究團隊在周二的一篇文章中解釋道。 “最重要的是，他使用了不合適的 PRNG 進行加密。 它唯一的熵來源是現在時。 您創建的任何密碼都可能在幾秒鐘內被殘忍地破解。”

Dungeon 指出卡巴斯基最大的錯誤是使用了系統時鐘 在幾秒鐘內作為偽隨機數生成器中的種子。

“這意味著世界上每個 Kaspersky Password Manager 實例都會在給定的時間內生成完全相同的密碼，”Jean-Baptiste Bédrune 說。 據他介紹，每個密碼都可能成為暴力攻擊的目標”。 “例如，315,619,200 年和 2010 年之間有 2021 秒，因此 KPM 可以為給定的字符集生成最多 315,619,200 個密碼。 對這個列表進行蠻力攻擊只需要幾分鐘。”

研究人員來自 地牢總結：

“卡巴斯基密碼管理器使用複雜的方法來生成密碼。 這種方法旨在為標準密碼黑客創建難以破解的密碼。 然而，與專用工具相比，這種方法降低了生成密碼的強度。 我們已經展示瞭如何使用 KeePass 生成強密碼作為示例：抽獎等簡單方法是安全的，只要您在查看給定字符範圍內的字母時擺脫“模數偏差”。

“我們還分析了卡巴斯基的 PRNG，結果表明它非常弱。 它的內部結構是來自 Boost 庫的梅森龍捲風，不適用於生成加密材料。 但最大的缺陷是這個 PRNG 是用當前時間播種的，以秒為單位。 這意味著由易受攻擊的 KPM 版本生成的每個密碼都可以在幾分鐘內（如果您大致知道生成時間，則可以在幾秒鐘內）被篡改。

卡巴斯基於 2019 年 2020 月獲悉該漏洞，並於同年 27 月發布補丁版本。 2021 年 XNUMX 月，用戶被告知必須重新生成一些密碼，卡巴斯基於 XNUMX 年 XNUMX 月 XNUMX 日發布了其安全公告：

“導致此問題的所有 Kaspersky Password Manager 公共版本現在都有一個新版本。 安全公司表示，在生成的密碼可能不夠強大的情況下，密碼生成邏輯和密碼更新警報

來源： https://donjon.ledger.com