072 - 201 61 16 31722016116
Slide
Wij bouwen jouw unieke
Game PC op maat

Naar eigen budget samenstellen
Keuze uit AMD en Intel
Kwaliteit voor de laagste prijs
Vakkundig & gebouwd met aandacht
Uitvoerig door ons getest

Naar eigen wens samenstellen
Keuze uit AMD en Intel
Kwaliteit voor de laagste prijs
Vakkundig en gebouwd met aandacht
Uitvoerig door ons getest

over ons
Hans
Jordi

Game PC Expert
+ 10 jaar ervaring

Software Expert
+ 25 jaar ervaring

Slide
BLAAS JE TEGENSTANDERS VAN
HET VELD MET DE NIEUWE
RTX 4000 KAARTEN
Ontdek de videokaarten in één van onze builders
previous arrow
next arrow

Wachtwoordmanager Kaspersky gebruikte voorspelbare seed in generator voor willekeurige getallen

datum: 07-07-2021Categorie: SoftwareBron: Tweakers

De wachtwoordmanager van Kaspersky heeft jarenlang onveilige wachtwoorden gemaakt. De wachtwoordgenerator in de software gebruikte de tijd van een machine als enige vorm van entropie, waardoor wachtwoorden binnen enkele seconden konden worden ontdekt via brute-force-aanvallen.

Het probleem zit in Kaspersky Password Manager of KPM, een stand-alone wachtwoordmanager van het beveiligingsbedrijf die zowel op desktop als mobiel en in de browser werkt. De kwetsbaarheid is ontdekt door Donjon, het onderzoeksteam van beveiligingsbedrijf Ledger. Dat beschrijft hoe het bijna twee jaar geleden voor het eerst een lek in de software vond.

De onderzoekers keken specifiek naar hoe de pseudo-random number generator, of prng, werkte in de wachtwoordmanager. Dat is het algoritme dat bepaalt welke karakters in het gegenereerde wachtwoord moeten staan. Hoewel de prng van Kaspersky's wachtwoordmanager relatief goed beschermt tegen aanvallen, is er volgens de onderzoekers een kwetsbaarheid als een aanvaller weet dat een slachtoffer de software van Kaspersky gebruikt.

In dat geval is het mogelijk om bepaalde delen van een gegenereerd wachtwoord te raden. KPM gebruikt een Mersenne Twister pnrg waarbij de seed is afgeleid van alleen de huidige systeemtijd, die is omgezet in seconden. Hierdoor zouden alle installaties van KPM 'in dezelfde seconde exact hetzelfde wachtwoord genereren'. Dat betekent ook dat wachtwoorden eenvoudig via een bruteforce-aanval achterhaald kunnen worden, stellen de onderzoekers. "Er zijn 315.619.200 seconden tussen 2010 en 2021, dus dat is het maximale aantal wachtwoorden dat gebruikers met een bepaalde tekenset kunnen hebben, dus het kan binnen enkele minuten worden gekraakt." Dit is alleen van toepassing op wachtwoorden waarvan de karakterset, of de lengte van de wachtwoorden, nooit is gewijzigd. De software van Kaspersky is standaard ingesteld op twaalf tekens.

De onderzoekers hebben inmiddels contact opgenomen met Kaspersky. Het bedrijf heeft sindsdien de kwetsbaarheid, code CVE-2020-27020, verholpen.

Nieuws overzicht
KvK nummer:  68747640
BTW nummer:  NL857574176B01