Kaspersky Password Manager miał tworzyć bezpieczne hasła. Złamano je w kilka sekund

Generatory pomagają użytkownikom tworzyć bezpieczne hasła za pomocą programów wykorzystujących generatory liczb pseudolosowych. Z założenia tego rodzaju hasło powinno być trudne do złamania. W przypadku Kaspersky Password Manager okazało się być odwrotnie.

Zespół Ledger Donjon postanowił przyjrzeć się popularnemu menadżerowi haseł i zbadać, czy faktycznie oferowane przez niego zabezpieczenia wystarczająco chronią jego użytkowników. Wyniki ich badań okazały się jednak nie być optymistyczne.

Zdaniem zespołu Kaspersky Password Manager miał kilka problemów. Najważniejszym z nich było używanie generatora liczb pseudolosowych nieodpowiedniego do celów kryptograficznych. Oznacza to, że wszystkie utworzone przez niego hasła można było w ciągu kilku sekund złamać metodą ataku siłowego.

Ledger Donjon przypomina, że dobre generatory muszą przechodzić testy losowości, takie jak Diehard czy Dieharder. Zespół ma jednak hipotezę, że w przypadku haseł tworzonych przez Kaspersky Password Manager, metoda ich wymyślania została zaimplementowana w celu oszukania standardowych narzędzi do łamania haseł. Problem zaczyna się w przypadku bardziej zaawansowanych programów.

Co ważne, Kaspersky Password Manager został już zaktualizowany i ten problem nie dotyczy jego najnowszej wersji. Nie zmienia to jednak faktu, że użytkownicy powinni obdarzyć go mniejszą dozą zaufania, znając jego wcześniejsze problemy.