Kasperskys lösenordshanterare hade ett fel i sin lösenordsgenererande teknik, som fick tjänsten att föreslå svaga lösenord för användare i månader.
Efter att felet hittats informerade Kaspersky användarna om att uppdatera sina svaga lösenord och rullade ut en patch för att åtgärda problemet. Problemet gällde en gammal version av alla KPM-klienter, som nu är uppdaterade.
Fel i Kaspersky Password Manager
Kaspersky, ett cybersäkerhetsföretag som erbjuder en rad produkter från antivirusprogram till hotövervakning, har en av sina produkter – lösenordshanteraren som har ett allvarligt designfel.
Efter två år avslöjade Kaspersky att han hade den svagaste lösenordsgeneratorn i sin Verktyget Kaspersky Password Manager (KPM)..
Detta upptäcktes av en säkerhetskonsult som heter Donjon, som sa att KPM hade använt en pseudo-slumptalsgenerator (PRNG) för att föreslå starka lösenord till sina KPM-användare.
De PRNG-teknik var otillräcklig för att skapa slumpmässiga starka lösenord och är inte lämpad för kryptografisk användning. Och ännu viktigare, det är baserat på att skapa lösenord med en enda entropikälla – enhetens aktuella tid.
Detta gör det sårbart som om angriparen lyckas ta reda på den aktuella tidpunkten för lösenordsskapande, det skulle kunna tvingas fram på några sekunder!
Till exempel, som Donjon-teamet förklarade, “” Det tar därför bara några minuter att tvinga dem att tvingas.
Kaspersky insåg hotet och utfärdade en patch till Windows-klienten tidigare, men den hade fortfarande problem. Senare rullade det ut faktiska patchar till webben, Windows, Android och iOS mellan oktober och december 2019.”
Dessa skulle meddela användare om svaga lösenord de har och kan uppdatera dem till de starka. Problemet spårades med CVE-2020-27020 ID och rådde användare att uppdatera sina kunder för bättre säkerhet.
