В менеджере паролей Касперского два года была серьезная брешь

Серьезные недостатки в алгоритме генерации случайных паролей в менеджере паролей Kaspersky Password Manager (KPM) обнаружили специалисты по информационной безопасности из команды Ledger Donjon, сообщается 6 июля на сайте исследователей.

Специалисты обнаружили, что сгенерированные пароли только выглядели случайно, но при этом зависели только от одного параметра — секунды времени в момент, когда они были созданы. То есть все пароли, которые были созданы пользователями по всему миру в определенную секунду были одинаковыми.

Зная об этой проблеме, злоумышленники могли создать базу паролей, которые могла сгенерировать программа Kaspersky Password Manager. «Последствия явно плохие: любой пароль может быть взломан. Например, между 2010 и 2021 годом 315619200 секунд, поэтому KPM может сгенерировать не более 315619200 паролей для данной кодировки. Брутфорс [подбор пароля полным перебором из списка] занимает несколько минут», — отмечают специалисты.

Также специалисты пояснили, что на многих сайтах указывается дата регистрации пользователей, поэтому список возможных паролей значительно сокращается для взлома конкретного пользователя.

В команде Ledger Donjon отметили, что уязвимость была обнаружена еще в 2019 году и о ней было сообщено «Лаборатории Касперского» и что описание дыры в безопасности публикуется с разрешения разработчиков менеджера паролей.

В самой лаборатории признали существование ошибки и сообщили, что она была исправлена в апреле 2021 года.