Złudne poczucie bezpieczeństwa

Badacz ds. cyberbezpieczeństwa z firmy Ledger Donjon odkrył poważną lukę w menedżerze haseł spółki Kaspersky. Choć narzędzie miało służyć do generowania trudnych do złamania haseł, w kodzie znajdowały się poważne błędy. Producent chciał, by Password Manager był skuteczniejszy od podobnych programów. W rezultacie stosował on częściej kombinacje znaków typowe dla używanych przez człowieka. Hasła wymyślone przez ludzi zdecydowanie częściej zawierają np. samogłoski niż nietypowe zbitki rzadko występujących w języku spółgłosek.

Zegar tyka

Problem w tym, że firma dodatkowo zastosowała w menedżerze generator liczb pseudolosowych, a bazą dla niego okazał się czas systemowy podawany w sekundach. W praktyce więc Kaspersky proponował takie same hasło wszystkim osobom na świecie, jeżeli tylko wygenerowały je w tej samej sekundzie. Między rokiem 2010 i 2021 minęło z kolei 315 619 200 sekund, co oznacza, że baza wszystkich możliwych haseł liczyła około 315 milionów pozycji.

Jest to teoretycznie sporo. Problem w tym, że jeżeli potencjalnemu włamywaczowi uda się choć w przybliżeniu określić czas założenia konta i wymyślenia hasła (a informacje na ten temat można w wielu portalach łatwo znaleźć), liczba kombinacji znaków do przetestowania zawęża się nawet do około 100. Kiedy zatem mamy pewność, że ktoś wygenerował hasło za pomocą Kaspersky Password Managera, można łatwo utworzyć dość niewielki zestaw kombinacji do wypróbowania.

Raport o błędzie przedstawiono firmie już w październiku 2019 roku, ale informacja została utajniona, aby Kaspersky mógł w spokoju naprawić usterkę. Firma poinformowała, że można nadal korzystać z ich narzędzia bez obaw o bezpieczeństwo. Ryzyko, że padniemy ofiarą włamania jest stosunkowo niskie. Zalecane jest jednak wygenerowanie na nowo części haseł. Po uruchomieniu menedżera automatycznie otrzymamy informację, jeżeli któreś z haseł wymaga pilnej zmiany.

fot. Kaspersky