近日，一位安全研究人員稱，卡巴斯基密碼管理器中的一個(gè)漏洞導(dǎo)致其創(chuàng)建的密碼安全性降低，攻擊者可以在幾秒鐘內(nèi)對(duì)其進(jìn)行暴力破解。

由俄羅斯安全公司卡巴斯基開發(fā)的卡巴斯基密碼管理器(KPM)不僅能讓用戶安全地存儲(chǔ)密碼和文檔，還能在需要時(shí)生成密碼。

[[410416]]

存儲(chǔ)在KPM保管庫(kù)中的所有敏感數(shù)據(jù)均受主密碼保護(hù)。該應(yīng)用程序適用于Windows、macOS、Android和iOS，即使是敏感數(shù)據(jù)也可以通過網(wǎng)絡(luò)訪問。

大約兩年前，Ledger安全研究員Jean-Baptiste Bédrune發(fā)現(xiàn)該應(yīng)用程序的問題在于其安全密碼生成機(jī)制很弱，攻擊者可以在幾秒鐘內(nèi)暴力破解KPM創(chuàng)建的密碼。

KPM能夠默認(rèn)生成12個(gè)字符的密碼，但允許用戶通過修改KPM界面中的設(shè)置(例如密碼長(zhǎng)度、大小寫字母、數(shù)字和特殊字符的使用)來(lái)進(jìn)行密碼個(gè)性化修改。

Ledger的研究人員解釋說(shuō)，KPM的問題也是它與其他密碼管理器的不同之處：為了創(chuàng)建與已生成密碼盡可能不同的新密碼，該應(yīng)用程序變得可預(yù)測(cè)。

“密碼本來(lái)是為了防止常用密碼破解程序被破解而創(chuàng)建的。然而，攻擊者卻掌握了KPM生成密碼所采用的算法。”Bédrune說(shuō)。

“我們可以得出結(jié)論，密碼生成算法本身并沒有那么糟糕，它會(huì)抵制破解工具。但如果攻擊者知道一個(gè)目標(biāo)人物使用的是KPM生成的密碼，將能夠更容易破解它。”研究人員說(shuō)。

該漏洞被跟蹤為CVE-2020-27020，與使用非加密安全的偽隨機(jī)數(shù)生成器(PRNG)有關(guān)。桌面應(yīng)用程序使用Mersenne Twister PRNG，而網(wǎng)絡(luò)版本使用Math.random()函數(shù)，這些函數(shù)都不適合生成加密安全信息。

研究人員發(fā)現(xiàn)，KPM使用系統(tǒng)時(shí)間作為種子來(lái)生成每個(gè)密碼，這意味著世界上每個(gè)KPM實(shí)例都會(huì)在給定的特定時(shí)刻內(nèi)生成完全相同的密碼。

“這一漏洞造成的后果顯然很糟糕，每個(gè)密碼都可能被暴力破解。例如，2010年和2021年之間有315619200秒，因此KPM最多可以為給定的字符集生成315619200個(gè)密碼，暴力破解它們只需要幾分鐘時(shí)間。”Bédrune說(shuō)。

卡巴斯基于2019年開始發(fā)布補(bǔ)丁，但僅在2021年4月發(fā)布了公告。

“密碼生成器在加密方面并不完全強(qiáng)大，在某些情況下，攻擊者在知道一些額外信息(例如，密碼生成時(shí)間)后，可能會(huì)預(yù)測(cè)用戶的密碼。所有可能出現(xiàn)此問題的KPM公共版本現(xiàn)在都更新了新的密碼生成邏輯和密碼更新警報(bào)。”卡巴斯基在其公告中指出。

同時(shí)公告還建議用戶盡快更新到Kaspersky Password Manager for Windows 9.0.2 Patch F、Kaspersky Password Manager for Android 9.2.14.872和Kaspersky Password Manager for iOS 9.2.14.31。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請(qǐng)通過安全牛（微信公眾號(hào)id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文