研究人員發現,卡巴斯基密碼管理器生成的密碼在幾秒鐘內就可以被暴力破解
使用卡巴斯基密碼管理器的用户可能需要重新生成 2019 年 10 月之前創建的任何密碼
最近更新時間 2021-07-07 17:09:52
兩年前,Ledger Donjon 安全研究負責人 Jean-Baptiste Bédrune 研究了卡巴斯基密碼管理器 (KPM),這是一款由卡巴斯基開發的密碼管理器。Bédrune 寫道:“卡巴斯基密碼管理器使用一種複雜的方法來生成密碼。這種方法旨在為標準密碼破解程序創建難以破解的密碼。但是,這種方法會降低生成的密碼相對於專用工具的強度。”
KPM 使用的技術之一是讓不經常使用的字母更頻繁地出現,Bédrune 説這可能是為了欺騙密碼破解工具。
“平均而言,KPM 生成的密碼將在這些工具測試的候選密碼列表中遙遙領先。如果攻擊者試圖破解 KPM 生成的密碼列表,他可能會等待很長時間,直到找到第一個。這相當聰明。”
另一方面是,如果攻擊者可以推斷出使用了 KPM,那麼密碼生成器中的偏見就會開始對其產生不利影響。
KPM 犯的一個大錯誤是使用當前系統時間(以秒為單位)作為 Mersenne Twister 偽隨機數生成器的種子。“這意味着世界上每一個 Kaspersky Password Manager 實例都會在給定的時間內生成完全相同的密碼,”Bédrune 説。
由於該程序的動畫在創建密碼時需要超過一秒鐘的時間,因此 Bédrune 表示這可能是未發現此問題的原因。
“例如,2010 年和 2021 年之間有 315619200 秒,因此 KPM 最多可以為給定的字符集生成 315619200 個密碼。暴力破解它們需要幾分鐘。”
Bédrune 補充説,由於網站經常顯示賬户創建時間,這將使 KPM 用户容易受到大約 100 個可能密碼的暴力攻擊。
卡巴斯基於 2019 年 6 月獲悉該漏洞,並於同年 10 月發佈了修復版本。2020 年 10 月,用户被吿知需要生成一些密碼,卡巴斯基於 2021 年 4 月 27 日發佈了其安全公吿。