近日,一位安全研究人员称,卡巴斯基密码管理器中的一个漏洞导致其创建的密码安全性降低,攻击者可以在几秒钟内对其进行暴力破解。
由俄罗斯安全公司卡巴斯基开发的卡巴斯基密码管理器(KPM)不仅能让用户安全地存储密码和文档,还能在需要时生成密码。
存储在KPM保管库中的所有敏感数据均受主密码保护。该应用程序适用于Windows、macOS、Android和iOS,即使是敏感数据也可以通过网络访问。
大约两年前,Ledger安全研究员Jean-Baptiste Bédrune发现该应用程序的问题在于其安全密码生成机制很弱,攻击者可以在几秒钟内暴力破解KPM创建的密码。
KPM能够默认生成12个字符的密码,但允许用户通过修改KPM界面中的设置(例如密码长度、大小写字母、数字和特殊字符的使用)来进行密码个性化修改。
Ledger的研究人员解释说,KPM的问题也是它与其他密码管理器的不同之处:为了创建与已生成密码尽可能不同的新密码,该应用程序变得可预测。
“密码本来是为了防止常用密码破解程序被破解而创建的。然而,攻击者却掌握了KPM生成密码所采用的算法。”Bédrune说。
“我们可以得出结论,密码生成算法本身并没有那么糟糕,它会抵制破解工具。但如果攻击者知道一个目标人物使用的是KPM生成的密码,将能够更容易破解它。”研究人员说。
该漏洞被跟踪为CVE-2020-27020,与使用非加密安全的伪随机数生成器(PRNG)有关。桌面应用程序使用Mersenne Twister PRNG,而网络版本使用Math.random()函数,这些函数都不适合生成加密安全信息。
研究人员发现,KPM使用系统时间作为种子来生成每个密码,这意味着世界上每个KPM实例都会在给定的特定时刻内生成完全相同的密码。
“这一漏洞造成的后果显然很糟糕,每个密码都可能被暴力破解。例如,2010年和2021年之间有315619200秒,因此KPM最多可以为给定的字符集生成315619200个密码,暴力破解它们只需要几分钟时间。”Bédrune说。
卡巴斯基于2019年开始发布补丁,但仅在2021年4月发布了公告。
“密码生成器在加密方面并不完全强大,在某些情况下,攻击者在知道一些额外信息(例如,密码生成时间)后,可能会预测用户的密码。所有可能出现此问题的KPM公共版本现在都更新了新的密码生成逻辑和密码更新警报。”卡巴斯基在其公告中指出。
同时公告还建议用户尽快更新到Kaspersky Password Manager for Windows 9.0.2 Patch F、Kaspersky Password Manager for Android 9.2.14.872和Kaspersky Password Manager for iOS 9.2.14.31。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
