Hvis du bruger Kaspersky Password Manager, vil du måske genskabe enhver adgangskode, der er oprettet før oktober 2019.
Antag, at du er i gang med at generere adgangskoder, ville det sandsynligvis være en god idé at bruge en ekstra anden entropikilde end det aktuelle tidspunkt, men i lang tid er det hele Kaspersky Password Manager (KPM) Brugt.
I en blogindlæg for at afslutte en næsten to år lang saga, viste Ledger Donjon, leder af sikkerhedsforskning, Jean-Baptiste Bédrune, at KPM gjorde netop det.
ZDNET anbefaler
Den bedste password manager: Forretning og personlig brug
Alle har brug for en password manager. Hvis du er villig til at betale et månedligt eller årligt gebyr, er disse muligheder det værd.
Læs nu"Kaspersky Password Manager brugte en kompleks metode til at generere sine adgangskoder. Denne metode havde til formål at skabe adgangskoder, der er svære at bryde til standard password-crackere. En sådan metode sænker imidlertid styrken af de genererede adgangskoder i forhold til dedikerede værktøjer," skrev Bédrune.
En af de teknikker, som KPM brugte, var at få bogstaver, der ikke ofte bruges, til at vises hyppigere, hvilket Bédrune sagde sandsynligvis var et forsøg på at narre værktøjer til at knække adgangskoder.
"Deres adgangskodeknækningsmetode er afhængig af, at der sandsynligvis er 'e' og 'a' i en adgangskode oprettet af et menneske end 'x' eller 'j', eller at bigrammerne 'th' og 'han' vil optræde meget oftere end 'qx' eller 'zr'," han sagde.
"Adgangskoder genereret af KPM vil i gennemsnit være langt på listen over kandidatadgangskoder testet af disse værktøjer. Hvis en angriber forsøger at knække en liste over adgangskoder genereret af KPM, vil han sandsynligvis vente ret lang tid, indtil den første er fundet. Det her er ret smart."
Bagsiden var, at hvis en angriber kunne udlede, at KPM blev brugt, så begyndte skævheden i adgangskodegeneratoren at modarbejde det.
"Hvis en angriber ved, at en person bruger KPM, vil han være i stand til at bryde sin adgangskode meget lettere end en fuldstændig tilfældig adgangskode. Vores anbefaling er dog at generere tilfældige adgangskoder længe nok til at være for stærke til at blive brudt af et værktøj."
Den store fejl begået af KPM var dog at bruge den nuværende systemtid i sekunder som frøet til en Mersenne Twister pseudorandom-talgenerator.
"Det betyder, at hver forekomst af Kaspersky Password Manager i verden vil generere nøjagtig den samme adgangskode på et givet sekund," sagde Bédrune.
Fordi programmet har en animation, der tager længere tid end et sekund, når en adgangskode oprettes, sagde Bédrune, at det kunne være grunden til, at dette problem ikke blev opdaget.
"Konsekvenserne er naturligvis dårlige: hvert kodeord kan blive bruteforced," sagde han.
"For eksempel er der 315619200 sekunder mellem 2010 og 2021, så KPM kunne højst generere 315619200 adgangskoder til et givet tegnsæt. Det tager et par minutter at tvinge dem brutalt."
Bédrune tilføjet på grund af websteder, der ofte viser kontooprettelsestid, hvilket ville efterlade KPM-brugere sårbare over for et bruteforce-angreb på omkring 100 mulige adgangskoder.
Men på grund af en dårlig kodning, der førte til en out-of-bound læsning på et array, fandt Ledger Donjon en ekstra lille smule entropi.
"Selvom algoritmen er forkert, gør den faktisk adgangskoder sværere at bruteforce i nogle tilfælde," stod der i indlægget.
KPM-versioner før 9.0.2 Patch F på Windows, 9.2.14.872 på Android eller 9.2.14.31 på iOS blev påvirket, med Kaspersky erstatter Mersenne Twister med BCryptGenRandom-funktionen på sin Windows-version, forskerholdet sagde.
Kaspersky blev informeret om sårbarheden i juni 2019 og udgav rettelsesversionen i oktober samme år. I oktober 2020 blev brugerne underrettet om, at nogle adgangskoder skulle genereres, og Kaspersky udgav sin sikkerhedsrådgivning den 27. april 2021.
"Alle offentlige versioner af Kaspersky Password Manager, der er ansvarlige for dette problem, har nu en ny logik for generering af adgangskode og en advarsel om opdatering af adgangskoder i tilfælde, hvor en genereret adgangskode sandsynligvis ikke er stærk nok," sikkerhedsfirmaet sagde.
I slutningen af 2015 sagde Kaspersky, at en ud af syv personer var kun ved at bruge én adgangskode.
"En stærk adgangskode, der er forskellig for hver konto, er et vigtigt grundlæggende element i at beskytte dit digitale identitet," sagde David Emm, ledende sikkerhedsforsker ved Kaspersky Lab, dengang i et lækkert stykke af ironi.
Flere sikkerhedsnyheder
- Kina advarer efter sigende lokale teknologivirksomheder om øget cybersikkerhedstilsyn
- Kaseya ransomware-angreb: 1.500 virksomheder berørt, bekræfter virksomheden
- Japan vil styrke det nationale cybersikkerhedsforsvar med 800 nye ansættelser: Rapport
- Didi udelukket fra Kinas appstores midt i regeringens cybersikkerhedsgennemgang
- Ransomware-angreb øger cybergenforsikringsraterne med 40 %