卡巴斯基密碼管理器生成容易破解的密碼

安全研究人員表明，卡巴斯基在 2019 年更新之前使用當(dāng)前時(shí)間生成密碼，這導(dǎo)致密碼容易破解。

密碼生成器并不總是完全隨機(jī)的，因?yàn)樵谕耆S機(jī)的序列中存在弱密碼的可能性。然而，卡巴斯基并沒有使用多層邏輯來(lái)開發(fā)強(qiáng)密碼，而是僅使用當(dāng)前時(shí)間來(lái)確定生成的密碼。

ZDNet 分享了 Ledger Donjon 進(jìn)行的研究，解釋了使用這種邏輯生成密碼背后的問(wèn)題。根據(jù)研究，這意味著世界上的每個(gè)卡巴斯基實(shí)例都會(huì)在給定的時(shí)間內(nèi)生成相同的密碼。

Ledger Donjon 的首席安全研究員說(shuō)：“如果攻擊者知道一個(gè)人使用 KPM，他將能夠比完全隨機(jī)的密碼更容易破解他的密碼。” “然而，我們的建議是，生成足夠長(zhǎng)的隨機(jī)密碼，使其強(qiáng)度過(guò)大而無(wú)法被工具破解。”

因此，試圖破解用戶帳戶的人只需要知道帳戶的創(chuàng)建時(shí)間以及是否使用了卡巴斯基密碼管理器。創(chuàng)建的每個(gè)密碼都很容易被暴力破解。

“例如，2010 年和 2021 年之間有 315619200 秒，因此 KPM 最多可以為給定的字符集生成 315619200 個(gè)密碼，”研究人員繼續(xù)說(shuō)道。“暴力破解它們需要幾分鐘。”

Windows 上 9.0.2 Patch F 之前的 KPM 版本、Android 上的 9.2.14.872 或 iOS 上的 9.2.14.31 都受到影響。

卡巴斯基于 2019 年 6 月獲悉該漏洞，并于同年 10 月發(fā)布了使用新密碼邏輯的修復(fù)程序。建議擁有較新版本的用戶更新潛在的弱密碼，但在 2019 年 10 月之前創(chuàng)建的任何密碼都可能存在風(fēng)險(xiǎn)。