Digamos que está en el negocio de crear contraseñas, podría ser una buena idea usar una fuente adicional de entropía que no sea ahora, pero durante mucho tiempo, eso es todo lo que usa Kaspersky Password Manager (KPM).
a Entrada en el blog Para concluir la saga de casi dos años, Ledger Dunjon, Jefe de Investigación de Seguridad Jean-Baptiste Pedrone, demostró que KPM estaba haciendo precisamente eso.
«Kaspersky Password Manager utilizó un método sofisticado para generar sus contraseñas. Este método tiene como objetivo crear contraseñas que son difíciles de descifrar para los crackers de contraseñas estándar. Sin embargo, este método reduce la solidez de las contraseñas generadas con herramientas personalizadas», escribió Bédrune.
Una técnica que utilizó KPM fue hacer que los caracteres que no se usan a menudo aparezcan con más frecuencia, lo que, según Peedron, puede haber sido un intento de engañar a las herramientas para descifrar contraseñas.
Cómo hackear su contraseña depende del hecho de que es probable que haya dos letras ‘e’ y ‘a’ en una contraseña creada por alguien que no sea ‘x’ o ‘j’, o las letras ‘th’ y ‘él’ aparecerá con más frecuencia. Más que ‘qx’ o ‘zr’.
«Las contraseñas generadas por KPM estarán, en promedio, lejos en la lista de contraseñas candidatas probadas por estas herramientas. Si un atacante intenta descifrar la lista de contraseñas generadas por KPM, probablemente esperará mucho tiempo hasta que expiren. La primera palabra que encontré. Eso es muy inteligente «.
La otra cara de la moneda era que si el atacante podía inferir que se estaba utilizando KPM, el sesgo del generador de contraseñas comenzaría a actuar en su contra.
«Si un atacante sabe que alguien está usando KPM, podrá descifrar su contraseña mucho más fácilmente que una contraseña aleatoria completa. Sin embargo, nuestra recomendación es crear contraseñas aleatorias lo suficientemente largas como para que sean demasiado seguras para ser descifradas por una herramienta». »
El gran error que cometió KPM fue a pesar de usar el tiempo actual del sistema en segundos como semilla en el generador de números pseudoaleatorios Mersenne Twister.
“Esto significa que cada instancia de Kaspersky Password Manager en el mundo generará exactamente la misma contraseña en un momento dado”, dijo Pedrone.
Dado que el programa tiene una animación que tarda más de un segundo en generar una contraseña, Pedrone dijo que esa podría ser la razón por la que no se detectó este problema.
«Las consecuencias son obviamente nefastas: cada contraseña puede ser brutalmente forzada», dijo.
«Por ejemplo, hay 315619200 segundos entre 2010 y 2021, por lo que KPM puede generar como máximo 315619200 contraseñas para un conjunto de caracteres determinado. Se necesitan unos minutos para aplicarlo».
Se agregó Bédrune porque los sitios a menudo se muestran cuando se crea una cuenta, lo que podría dejar a los usuarios de KPM vulnerables a un poderoso ataque de alrededor de 100 contraseñas potenciales.
Sin embargo, debido a una mala codificación que resultó en una lectura fuera de los límites en una matriz, Ledger Dungeon encontró un tipo adicional de entropía.
«Aunque el algoritmo es incorrecto, en realidad hace que las contraseñas sean más difíciles de usar por fuerza bruta en algunos casos», dijo la publicación.
El equipo de investigación dijo que las versiones de KPM anteriores a 9.0.2 Patch F en Windows, 9.2.14.872 en Android o 9.2.14.31 en iOS se han visto afectadas, con Kaspersky Mersenne Twister reemplazando la funcionalidad BCryptGenRandom en su versión de Windows.
Kaspersky fue informado de la vulnerabilidad en junio de 2019 y lanzó la versión corregida en octubre del mismo año. En octubre de 2020, se notificó a los usuarios la necesidad de crear algunas contraseñas, y Kaspersky las publicó. Consultoría de seguridad El 27 de abril de 2021.
«Todas las versiones públicas de Kaspersky Password Manager responsables de este problema ahora tienen una nueva lógica de generación de contraseñas y una alerta de actualización de contraseña para los casos en que la contraseña generada puede no ser lo suficientemente fuerte», dijo la firma de seguridad.
A finales de 2015, Kaspersky dijo que una de cada siete personas Usando solo una contraseña.
«Una contraseña segura que varía para cada cuenta es un elemento central importante para proteger su identidad digital», dijo David Emm, investigador principal de seguridad de Kaspersky Lab, en ese momento con un suave sarcasmo.
Más noticias de seguridad
«Food ninja. Freelance pop culture fanatic. Wannabe zombie maven. Twitter aficionado.»
More Stories
La red social Butterflies AI añade una función que te convierte en un personaje de inteligencia artificial
Edición del vigésimo aniversario de Hautlence HLXX: redefiniendo el tiempo con minutos que retroceden y horas saltantes
Un marco para resolver ecuaciones diferenciales parciales equivalentes puede guiar el procesamiento y la ingeniería de gráficos por computadora