072 - 201 61 16 31722016116

Professionele bouwers van jouw nieuwe game pc op maat

Zelf PC samenstellen

Wachtwoordmanager Kaspersky gebruikte voorspelbare seed in generator voor willekeurige getallen

datum: 07-07-2021Categorie: SoftwareBron: Tweakers

De wachtwoordmanager van Kaspersky heeft jarenlang onveilige wachtwoorden gemaakt. De wachtwoordgenerator in de software gebruikte de tijd van een machine als enige vorm van entropie, waardoor wachtwoorden binnen enkele seconden konden worden ontdekt via brute-force-aanvallen.

Het probleem zit in Kaspersky Password Manager of KPM, een stand-alone wachtwoordmanager van het beveiligingsbedrijf die zowel op desktop als mobiel en in de browser werkt. De kwetsbaarheid is ontdekt door Donjon, het onderzoeksteam van beveiligingsbedrijf Ledger. Dat beschrijft hoe het bijna twee jaar geleden voor het eerst een lek in de software vond.

De onderzoekers keken specifiek naar hoe de pseudo-random number generator, of prng, werkte in de wachtwoordmanager. Dat is het algoritme dat bepaalt welke karakters in het gegenereerde wachtwoord moeten staan. Hoewel de prng van Kaspersky's wachtwoordmanager relatief goed beschermt tegen aanvallen, is er volgens de onderzoekers een kwetsbaarheid als een aanvaller weet dat een slachtoffer de software van Kaspersky gebruikt.

In dat geval is het mogelijk om bepaalde delen van een gegenereerd wachtwoord te raden. KPM gebruikt een Mersenne Twister pnrg waarbij de seed is afgeleid van alleen de huidige systeemtijd, die is omgezet in seconden. Hierdoor zouden alle installaties van KPM 'in dezelfde seconde exact hetzelfde wachtwoord genereren'. Dat betekent ook dat wachtwoorden eenvoudig via een bruteforce-aanval achterhaald kunnen worden, stellen de onderzoekers. "Er zijn 315.619.200 seconden tussen 2010 en 2021, dus dat is het maximale aantal wachtwoorden dat gebruikers met een bepaalde tekenset kunnen hebben, dus het kan binnen enkele minuten worden gekraakt." Dit is alleen van toepassing op wachtwoorden waarvan de karakterset, of de lengte van de wachtwoorden, nooit is gewijzigd. De software van Kaspersky is standaard ingesteld op twaalf tekens.

De onderzoekers hebben inmiddels contact opgenomen met Kaspersky. Het bedrijf heeft sindsdien de kwetsbaarheid, code CVE-2020-27020, verholpen.

Nieuws overzicht
Professionele installatie en reparatie van jouw pc of laptop voor de regio Alkmaar, Heerhugowaard, Schagen
Computer hulp zowel bij ons op kantoor als bij jou thuis, bedrijf of op afstand.
KvK nummer:  68747640
BTW nummer:  NL857574176B01