Se você estiver usando o Gerenciador de Senhas Kaspersky, talvez queira regenerar qualquer senha criada antes de outubro de 2019.

Suponha que você esteja no ramo de geração de senhas, provavelmente seria uma boa ideia usar uma fonte adicional de entropia diferente da hora atual, mas por muito tempo, isso é tudo que o Kaspersky Password Manager (KPM) usou.

Em uma postagem de blog para encerrar uma saga de quase dois anos, o chefe de pesquisa de segurança do Ledger Donjon, Jean-Baptiste Bédrune, mostrou que a KPM estava fazendo exatamente isso.

“O Kaspersky Password Manager usou um método complexo para gerar suas senhas. Este método visava criar senhas difíceis de quebrar para crackers de senhas padrão. No entanto, tal método diminui a força das senhas geradas contra ferramentas dedicadas”, escreveu Bédrune.

Uma das técnicas usadas pelo KPM era fazer com que as letras que não eram usadas com frequência aparecessem com mais frequência, o que Bédrune disse ser provavelmente uma tentativa de enganar as ferramentas de quebra de senha.

"O método de quebra de senha baseia-se no fato de que provavelmente há 'e' e 'a' em uma senha criada por um humano do que 'x' ou 'j', ou que os bigramas 'th' e 'ele' aparecerão muito mais frequentemente do que 'qx' ou 'zr' ", disse ele.

“As senhas geradas pelo KPM ficarão, em média, na lista de senhas candidatas testadas por essas ferramentas. Se um invasor tentar quebrar uma lista de senhas gerada pelo KPM, provavelmente vai esperar muito tempo até que a primeira seja encontrado. Isso é muito inteligente. "

O outro lado era que, se um invasor pudesse deduzir que o KPM foi usado, o viés no gerador de senha começou a funcionar contra ele.

“Se um invasor souber que uma pessoa usa KPM, ele será capaz de quebrar sua senha com muito mais facilidade do que uma senha totalmente aleatória. Nossa recomendação é, no entanto, gerar senhas aleatórias longas o suficiente para serem fortes demais para serem quebradas por uma ferramenta. "

O grande erro cometido pelo KPM, entretanto, foi usar o tempo atual do sistema em segundos como a semente em um gerador de números pseudo-aleatórios Mersenne Twister.

“Isso significa que cada instância do Kaspersky Password Manager no mundo irá gerar exatamente a mesma senha em um determinado segundo”, disse Bédrune.

Como o programa tem uma animação que leva mais de um segundo quando uma senha é criada, Bédrune disse que pode ser o motivo pelo qual o problema não foi descoberto.

"As conseqüências são obviamente ruins: toda senha pode ser forçada", disse ele.

"Por exemplo, existem 315619200 segundos entre 2010 e 2021, então o KPM pode gerar no máximo 315619200 senhas para um determinado conjunto de caracteres. O força bruta leva alguns minutos."

Bédrune adicionado devido a sites que geralmente mostram o tempo de criação da conta, o que deixaria os usuários do KPM vulneráveis ​​a um ataque de força bruta de cerca de 100 senhas possíveis.

No entanto, devido a alguns códigos ruins que levam a uma leitura fora dos limites em uma matriz, Ledger Donjon encontrou um pingo adicional de entropia.

"Embora o algoritmo esteja errado, ele na verdade torna as senhas mais difíceis de usar como força bruta em alguns casos", disse o post.

As versões do KPM anteriores a 9.0.2 Patch F no Windows, 9.2.14.872 no Android ou 9.2.14.31 no iOS foram afetadas, com o Kaspersky substituindo o Mersenne Twister pela função BCryptGenRandom em sua versão do Windows, disse a equipe de pesquisa.

A Kaspersky foi informada sobre a vulnerabilidade em junho de 2019 e lançou a versão de correção em outubro do mesmo ano. Em outubro de 2020, os usuários foram notificados de que algumas senhas precisariam ser geradas, com a Kaspersky publicando seu comunicado de segurança em 27 de abril de 2021.

"Todas as versões públicas do Kaspersky Password Manager responsáveis ​​por este problema agora têm uma nova lógica de geração de senha e um alerta de atualização de senha para casos em que uma senha gerada provavelmente não é forte o suficiente", disse a empresa de segurança.

No final de 2015, a Kaspersky disse que uma em sete pessoas estava usando apenas uma senha .

"Uma senha forte que difere para cada conta é um elemento básico importante para proteger sua identidade digital", disse David Emm, principal pesquisador de segurança da Kaspersky Lab, em uma deliciosa ironia.

Fonte: ZDNet