Kaspersky Password Manager (KPM) ir viens no daudzajiem paroļu uzglabāšanas rīkiem, bet atklāts, ka KPM, visticamāk, ģenerē nedrošas paroles, kas uzlaužamas ar tā dēvēto brute-force pieeju.
Pagājušajā gadā KPM jau brīdināja lietotājus atjaunot nedrošās paroles, bet tagad zināms, kas bijis iemesls šiem paziņojumiem. Kaspersky Lab vēl 2019. gadā uzsāka piedāvāt informāciju par vājām parolēm un piedāvāja to vietā ģenerēt jaunu, drošu paroli, kas nemaz nav tik droša.
Donjon izpētes komanda norāda, ka Kaspersky Lab izmantotais paroļu ģenerators nerada pietiekami nejaušas (random) paroles, tātad tās nav drošas un ir uzlaužamas. KPM izmantojot tikai paroles ģenerēšanas pulksteņa laiku par mainīgo lielumu, kas ļaujot šādi ģenerētas paroles uzlauzt ļoti īsā laikā. Ar tā dēvēto brute-force pieeju tas prasītu tikai dažas minūtes.
Donjon skaidro, ka laika izmantošana ir ļoti vājš mainīgais, jo tādējādi pasaulē vienā laika sprīdī tiek ģenerētas vienādas paroles. Starp 2010. un 2021. gadu ir tikai 315619200 sekundes, tātad KPM var izveidot tādu pašu paroļu skaitu ar ierobežotu zīmju daudzumu. Ja šī nianse ir zināma, tad paroles uzlaušana aizņem vien dažas minūtes.
I was going to laugh off this Kaspersky password manager bug, but it is *amazing*. In the sense that I’ve never seen so many broken things in one simple piece of code. https://t.co/OYn7pJUm7z
— Matthew Green (@matthew_d_green) July 6, 2021
Arti, medūzā izskaidrots par rindkopu garāk, bet nudien ilustratīvāk.
es kā lajs padomāju – kāpēc solis ir sekunde, nevis milisekunde? mazliet vairāk variantu.
nepiekrītu..