《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 卡巴斯基密碼管理器或生成“弱密碼”?

卡巴斯基密碼管理器或生成“弱密碼”?

2021-07-09
來源:安全牛
關(guān)鍵詞: 卡巴斯基 密碼管理器 弱密碼

  近日,,一位安全研究人員稱,卡巴斯基密碼管理器中的一個漏洞導(dǎo)致其創(chuàng)建的密碼安全性降低,,攻擊者可以在幾秒鐘內(nèi)對其進行暴力破解,。

  由俄羅斯安全公司卡巴斯基開發(fā)的卡巴斯基密碼管理器(KPM)不僅能讓用戶安全地存儲密碼和文檔,,還能在需要時生成密碼。

  存儲在KPM保管庫中的所有敏感數(shù)據(jù)均受主密碼保護,。該應(yīng)用程序適用于Windows,、macOS、Android和iOS,,即使是敏感數(shù)據(jù)也可以通過網(wǎng)絡(luò)訪問。

  大約兩年前,,Ledger安全研究員Jean-Baptiste Bédrune發(fā)現(xiàn)該應(yīng)用程序的問題在于其安全密碼生成機制很弱,,攻擊者可以在幾秒鐘內(nèi)暴力破解KPM創(chuàng)建的密碼。

  KPM能夠默認(rèn)生成12個字符的密碼,,但允許用戶通過修改KPM界面中的設(shè)置(例如密碼長度,、大小寫字母、數(shù)字和特殊字符的使用)來進行密碼個性化修改。

  Ledger的研究人員解釋說,,KPM的問題也是它與其他密碼管理器的不同之處:為了創(chuàng)建與已生成密碼盡可能不同的新密碼,,該應(yīng)用程序變得可預(yù)測。

  “密碼本來是為了防止常用密碼破解程序被破解而創(chuàng)建的,。然而,,攻擊者卻掌握了KPM生成密碼所采用的算法?!盉édrune說,。

  “我們可以得出結(jié)論,密碼生成算法本身并沒有那么糟糕,,它會抵制破解工具,。但如果攻擊者知道一個目標(biāo)人物使用的是KPM生成的密碼,將能夠更容易破解它,?!毖芯咳藛T說。

  該漏洞被跟蹤為CVE-2020-27020,,與使用非加密安全的偽隨機數(shù)生成器(PRNG)有關(guān),。桌面應(yīng)用程序使用Mersenne Twister PRNG,而網(wǎng)絡(luò)版本使用Math.random()函數(shù),,這些函數(shù)都不適合生成加密安全信息,。

  研究人員發(fā)現(xiàn),KPM使用系統(tǒng)時間作為種子來生成每個密碼,,這意味著世界上每個KPM實例都會在給定的特定時刻內(nèi)生成完全相同的密碼,。

  “這一漏洞造成的后果顯然很糟糕,每個密碼都可能被暴力破解,。例如,,2010年和2021年之間有315619200秒,因此KPM最多可以為給定的字符集生成315619200個密碼,,暴力破解它們只需要幾分鐘時間,。”Bédrune說,。

  卡巴斯基于2019年開始發(fā)布補丁,但僅在2021年4月發(fā)布了公告,。

  “密碼生成器在加密方面并不完全強大,,在某些情況下,攻擊者在知道一些額外信息(例如,,密碼生成時間)后,,可能會預(yù)測用戶的密碼。所有可能出現(xiàn)此問題的KPM公共版本現(xiàn)在都更新了新的密碼生成邏輯和密碼更新警報?!笨ò退够谄涔嬷兄赋?。

  同時公告還建議用戶盡快更新到Kaspersky Password Manager for Windows 9.0.2 Patch F、Kaspersky Password Manager for Android 9.2.14.872和Kaspersky Password Manager for iOS 9.2.14.31,。

 


微信圖片_20210517164139.jpg

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]