Start Empfohlen Kaspersky Password Manager generierte unglaublich leicht zu knackende Passwörter

Kaspersky Password Manager generierte unglaublich leicht zu knackende Passwörter

3
0


Passwort-Denkblase

Aus Sicherheitsgründen verlassen sich viele Menschen auf Passwort-Manager, um ihre ständig wachsende Sammlung von Anmeldeinformationen zu speichern. Und wenn es an der Zeit ist, ein neues Benutzerkonto zu erstellen, bieten viele dieser Tools einen Passwort-Generator an, der bei der Erstellung von etwas Ultra-Sicherem hilft.

Oder zumindest ist das die Idee. Das Sicherheitsberatungsunternehmen Donjon stellte fest, dass Kaspersky Password Manager zwischen März 2019 und Oktober 2020 Passwörter generierte, die in Sekundenschnelle geknackt werden konnten. Das Tool verwendete einen Pseudo-Zufallszahlengenerator (PRNG), der für kryptografische Zwecke einzigartig ungeeignet war.

Siehe auch:

Donjon-Forscher fanden heraus, dass der in Kaspersky Password Manager enthaltene Passwortgenerator mehrere Probleme aufwies. Am bedeutsamsten ist die Tatsache, dass der PRNG eine einzige Entropiequelle verwendet – die aktuelle Zeit. Dies bedeutete, dass „alle von ihm erstellten Passwörter in Sekundenschnelle brutal erzwungen werden konnten“.

Das Problem wurde CVE-2020-27020 zugewiesen, wo die alte Version des Passwort-Managers als „nicht vollständig kryptographisch stark und möglicherweise einem Angreifer in einigen Fällen die Vorhersage von generierten Passwörtern ermöglicht“ beschrieben wird. Der Vorbehalt, dass „ein Angreifer einige zusätzliche Informationen (z. B. den Zeitpunkt der Passwortgenerierung) benötigen müsste“ ist zwar berechtigt, Tatsache ist jedoch, dass Kaspersky-Passwörter deutlich weniger sicher waren, als man glaubte.

Forscher bei Don Jon geschlossen:

Kaspersky Password Manager verwendet eine komplexe Methode, um seine Passwörter zu generieren. Diese Methode zielte darauf ab, Passwörter zu erstellen, die für Standard-Passwort-Cracker schwer zu knacken sind. Ein solches Verfahren verringert jedoch die Stärke der generierten Passwörter gegenüber dedizierten Tools. Wir haben am Beispiel von KeePass gezeigt, wie man sichere Passwörter generiert: Einfache Methoden wie zufällige Ziehungen sind sicher, sobald man den „Modulo-Bias“ beim Einsehen eines Buchstabens aus einem bestimmten Zeichenbereich loswird.

Wir haben auch das PRNG von Kaspersky untersucht und gezeigt, dass es sehr schwach ist. Seine interne Struktur, ein Mersenne-Twister aus der Boost-Bibliothek, ist nicht geeignet, kryptografisches Material zu generieren. Aber der größte Fehler ist, dass dieses PRNG mit der aktuellen Zeit in Sekunden gesät wurde. Das bedeutet, dass jedes Passwort, das von anfälligen Versionen von KPM generiert wird, innerhalb von Minuten (oder in einer Sekunde, wenn Sie die Generierungszeit ungefähr kennen) brutal erzwungen werden können.

Schließlich haben wir einen Machbarkeitsnachweis vorgelegt, der die von KPM verwendete vollständige Generierungsmethode detailliert beschreibt. Es kann verwendet werden, um zu überprüfen, ob der Fehler tatsächlich in Windows-Versionen von Kaspersky Password Manager < 9.0.2 Patch F vorhanden ist. Durch das Schreiben dieses PoC konnten wir übrigens bei der Berechnung der Häufigkeit des Erscheinens von Kennwortzeichen einen Lesefehler außerhalb der Grenzen erkennen , was Passwörter etwas stärker macht, als sie hätten sein sollen.

Kaspersky weist darauf hin, dass das Problem im letzten Jahr behoben wurde:

Die Entdeckung hat die Sicherheitsgemeinde schockiert. Mike Newman, CEO von My1Login, antwortete auf die Nachricht mit den Worten: „Das Hauptziel eines Zufallskennwortgenerators besteht darin, Kennwörter zu erstellen, die praktisch unmöglich zu knacken sind.

Er fügte hinzu:

Supercomputer sind in der Lage, Milliarden von Versuchen pro Sekunde zu durchlaufen, um ein Passwort per Brute-Force zu erzwingen. Der Mangel an Zufälligkeit, der durch die KPM-Lösung erzeugt wird, zusammen mit der Tatsache, dass ein Angriff viel schneller ausgeführt werden kann, wenn der Erstellungszeitpunkt eines Kontos bekannt ist, zeigt die Tatsache, dass selbst zufällige Passwortgeneratoren nicht darauf vertrauen können, dass sie bösartig bleiben Schauspieler weg.

Was ist also die Erkenntnis daraus? Kurz gesagt, wenn Sie Kaspersky Password Manager verwenden, müssen Sie sicherstellen, dass es vollständig auf dem neuesten Stand ist, um sicherzustellen, dass Ihre Passwörter nicht geknackt werden können. Stellen Sie sicher, dass Sie mindestens Kaspersky Password Manager für Windows 9.0.2 Patch F, Kaspersky Password Manager für Android 9.2.14.872 oder Kaspersky Password Manager für iOS 9.2.14.31 ausführen.

Alle Details zu den Ergebnissen der Forscher sind verfügbar Hier.

Bildnachweis: emrcartoons.com / Shutterstock



Vorheriger ArtikelDell Latitude 7320 Detachable Windows 10-PC jetzt als Surface Pro-Alternative verfügbar
Nächster ArtikelDie New York Times bringt die NYT Cooking App endlich auf Android

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein