研究人员发现，卡巴斯基密码管理器生成的密码在几秒钟内就可以被暴力破解

两年前，Ledger Donjon 安全研究负责人 Jean-Baptiste Bédrune 研究了卡巴斯基密码管理器 (KPM)，这是一款由卡巴斯基开发的密码管理器。Bédrune 写道：“卡巴斯基密码管理器使用一种复杂的方法来生成密码。这种方法旨在为标准密码破解程序创建难以破解的密码。但是，这种方法会降低生成的密码相对于专用工具的强度。”

KPM 使用的技术之一是让不经常使用的字母更频繁地出现，Bédrune 说这可能是为了欺骗密码破解工具。

“平均而言，KPM 生成的密码将在这些工具测试的候选密码列表中遥遥领先。如果攻击者试图破解 KPM 生成的密码列表，他可能会等待很长时间，直到找到第一个。这相当聪明。”

另一方面是，如果攻击者可以推断出使用了 KPM，那么密码生成器中的偏见就会开始对其产生不利影响。

KPM 犯的一个大错误是使用当前系统时间（以秒为单位）作为 Mersenne Twister 伪随机数生成器的种子。“这意味着世界上每一个 Kaspersky Password Manager 实例都会在给定的时间内生成完全相同的密码，”Bédrune 说。

由于该程序的动画在创建密码时需要超过一秒钟的时间，因此 Bédrune 表示这可能是未发现此问题的原因。

“例如，2010 年和 2021 年之间有 315619200 秒，因此 KPM 最多可以为给定的字符集生成 315619200 个密码。暴力破解它们需要几分钟。”

Bédrune 补充说，由于网站经常显示账户创建时间，这将使 KPM 用户容易受到大约 100 个可能密码的暴力攻击。

卡巴斯基于 2019 年 6 月获悉该漏洞，并于同年 10 月发布了修复版本。2020 年 10 月，用户被告知需要生成一些密码，卡巴斯基于 2021 年 4 月 27 日发布了其安全公告。