近日,一位安全研究人员表示,卡巴斯基密码管理器中的一个漏洞导致密码安全性下降,攻击者可以在几秒钟内暴力破解。
卡巴斯基密码管理器由俄罗斯安全公司卡巴斯基开发(KPM)不仅不仅可以安全地存储密码和文档,还可以在必要时生成密码。
存储在KPM仓库中的所有敏感数据都受到主密码的保护。该应用程序适用于Windows、macOS、Android和iOS,即使是敏感数据也可以通过网络访问。
大约两年前,Ledger安全研究员Jean-Baptiste Bédrune该应用程序的问题是其安全密码生成机制非常弱,攻击者可以在几秒钟内暴力破解KPM密码创建。
KPM默认生成12个字符的密码,但允许用户修改KPM设置界面(如密码长度、大小写字母、数字和特殊字符)进行密码个性化修改。
Ledger的研究人员解释说,KPM问题也是它不同于其他密码管理器:应用程序变得可预测,以创建尽可能不同于已生成密码的新密码。
“密码最初是为了防止常用的密码破解程序被破解而创建的。然而,攻击者已经掌握了KPM用于生成密码的算法。”Bédrune说。
“我们可以得出结论,密码生成算法本身并不是那么糟糕,它会抵制破解工具。但如果攻击者知道目标人物使用它KPM生成的密码会更容易破解。”研究人员说。
跟踪漏洞CVE-2020-27020,使用非加密安全伪随机数生成器(PRNG)有关。使用桌面应用程序。Mersenne Twister PRNG,使用网络版Math.random()函数,不适合生成加密安全信息。
研究人员发现,KPM使用系统时间作为种子生成每个密码,这意味着世界上的每个密码KPM例子将在给定的特定时间内生成完全相同的密码。
“这个漏洞的后果显然很糟糕,每个密码都可能被暴力破解。比如2010年和2021年有315619200秒,所以KPM315619200个密码最多可以为给定的字符集成,暴力破解只需几分钟。”Bédrune说。
卡巴斯于2019年开始发布补丁,但仅在2021年4月发布公告。
“密码生成器在加密方面并不完全强大。在某些情况下,攻击者可能会在知道一些额外信息(例如,密码生成时间)后预测用户的密码。所有这些问题都可能发生KPM新的密码生成逻辑和密码更新生成逻辑和密码更新报警。”卡巴斯基在其公告中指出。
同时,公告还建议用户尽快更新Kaspersky Password Manager for Windows 9.0.2 Patch F、Kaspersky Password Manager for Android 9.2.14.872和Kaspersky Password Manager for iOS 9.2.14.31。
【本文是51CTO专栏作者“安全牛”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv)获取授权】
戳这里,看作者更好的文章