卡巴斯基密碼管理器生成容易破解的密碼

安全研究人員表明，卡巴斯基在 2019 年更新之前使用當(dāng)前時間生成密碼，這導(dǎo)致密碼容易破解。

密碼生成器并不總是完全隨機的，因為在完全隨機的序列中存在弱密碼的可能性。然而，卡巴斯基并沒有使用多層邏輯來開發(fā)強密碼，而是僅使用當(dāng)前時間來確定生成的密碼。

ZDNet 分享了 Ledger Donjon 進行的研究，解釋了使用這種邏輯生成密碼背后的問題。根據(jù)研究，這意味著世界上的每個卡巴斯基實例都會在給定的時間內(nèi)生成相同的密碼。

Ledger Donjon 的首席安全研究員說：“如果攻擊者知道一個人使用 KPM，他將能夠比完全隨機的密碼更容易破解他的密碼。” “然而，我們的建議是，生成足夠長的隨機密碼，使其強度過大而無法被工具破解。”

因此，試圖破解用戶帳戶的人只需要知道帳戶的創(chuàng)建時間以及是否使用了卡巴斯基密碼管理器。創(chuàng)建的每個密碼都很容易被暴力破解。

“例如，2010 年和 2021 年之間有 315619200 秒，因此 KPM 最多可以為給定的字符集生成 315619200 個密碼，”研究人員繼續(xù)說道。“暴力破解它們需要幾分鐘。”

Windows 上 9.0.2 Patch F 之前的 KPM 版本、Android 上的 9.2.14.872 或 iOS 上的 9.2.14.31 都受到影響。

卡巴斯基于 2019 年 6 月獲悉該漏洞，并于同年 10 月發(fā)布了使用新密碼邏輯的修復(fù)程序。建議擁有較新版本的用戶更新潛在的弱密碼，但在 2019 年 10 月之前創(chuàng)建的任何密碼都可能存在風(fēng)險。