Die zufälligen Passwörter vom Kaspersky Passwort Manager sind viel zu einfach zu erraten
Sicherheitstechniker erklärten, das sich beim Kaspersky Passwort-Manager die vorgeschlagenen Passwörter, mit Durchprobieren ziemlich schnell erraten ließen. Durch die verpatzte Umsetzung der Software sind alle Plattformen ( Windows, Android und iOS ) betroffen auf die der Passwort-Manager installiert ist. Das Problem hat auch Kaspersky erkannt und die Software Ende 2019 aktualisiert, wenn du den Manager aber schon länger verwendest, solltest du unbedingt neue Passwörter generieren.
Passwort zufällig? Leider nein!
Ein Passwort-Manager wird ja in den meisten Fällen deshalb verwendet um für den Benutzer möglichst einfach, sichere Passwörter zu generieren, und zu speichern. Die Passwörter sollen so komplex wie möglich sein, daß sie nicht erraten werden können. Vom Kaspersky PW Manager werden dazu „scheinbar“ komplexe und zufällige Passwörter vorgeschlagen.
Dies wird von der Software durch einen Pseudozufallszahlengenerator ( PRNG ) gemacht. Genau hier liegt aber das Hauptproblem. Das scheinbar zufällige Passwort bzw. dessen Zahlen sind in Wirklichkeit aber errechnet. Der PRNG benötigt um ein solches Passwort zu erzeugen, lediglich einen Startwert und errechnet anschließend eine Serie von Zahlen die auf den ersten Blick keinen Zusammenhang mehr haben. Beim Kaspersky Passwort-Manager wird jedoch für den gleichen Startwert immer die gleiche Zahlenfolge errechnet. Wenn der Benutzer also einfach immer den gleichen Startwert verwendete, konnte man sich den Rest ganz einfach ausrechnen. Ein Angreifer mußte also nur ein paar Buchstaben probieren und hatte somit innerhalb weniger Minuten das Passwort.
Kaspersky hats verbockt!
Mehr kann man dazu nicht sagen, wenn man sich anschaut wie die Passwörter generiert werden. Es wurde einfach die aktuelle Uhrzeit in Sekunden verwendet. Das bedeutet erstens das jeder Passwort-Manager zur gleichen Zeit exakt immer die gleichen Passwörter generiert und zweitens werden die möglichen Kombinationen so stark reduziert, das durch einfaches probieren alle Kombinationen in kürzester Zeit durchprobiert werden können.
Sicherheitsforscher von Ledger haben aufgedeckt, das zwischen dem Jahr 2010 und 2021 insgesamt ca. 312459865 Sekunden verstrichen sind. Die Zahl schaut nach mehr aus als es tatsächlich sind. In unserem Beispiel könnten damit in ein paar Minuten alle Kombinationen getestet werden. Wenn man mehr Information zb. die Erstellungszeit des Zugangs wußte, können die möglichen Kombinationen natürlich noch stärker eingeschränkt werden.