Jean-Baptiste Bédrune, szef badań nad bezpieczeństwem w Ledger Donjon, od lat analizuje oprogramowanie zabezpieczające, w tym menedżery haseł. Ostatnio wyjaśnił, że "Kaspersky Password Manager (KPM) używał złożonej metody do generowania haseł. Ta metoda miała na celu tworzenie haseł trudnych do złamania dla standardowych łamaczy haseł (password crackers). Taka metoda obniża jednak siłę generowanych haseł w stosunku do dedykowanych nowoczesnych narzędzi".

Jedną z technik stosowanych przez Kaspersky było sprawienie, by litery, które nie są często używane, pojawiały się częściej. Miało to na celu oszukanie narzędzi do łamania haseł. Jak tłumaczy Bédrune, taka metoda opiera się na fakcie, że np. "w haśle stworzonym przez człowieka bardziej prawdopodobne jest, że znajdziemy litery 'a' czy 'e' zamiast 'x' lub 'j', lub że duże litery 'th' i 'he' pojawią się znacznie częściej niż 'qx' czy 'zr'". Ekspert dodaje, że hasła generowane przez KPM są dzięki temu bardzo "sprytne" i jeśli ktoś chciałby je złamać, z pewnością poczekałby bardzo długo, zanim udałoby mu się poznać choć jedno z nich.

Zobacz również:

• Użytkownicy dalej konfigurują łatwe do odgadnięcia hasła

Problem pojawia się jednak wtedy, gdy atakujący wywnioskuje, że ma do czynienia z KPM. Wtedy może założyć, że ma do czynienia z tym narzędziem i wprowadzić odpowiednie zmiany w swoim programie do łamania haseł, dostosowując go do zasad, jakimi kieruje się Kaspersky. "Jeśli atakujący wie, że dana osoba korzysta z KPM, będzie w stanie złamać to hasło znacznie łatwiej, niż w pełni losowe hasło" - czytamy we wpisie.

Dodatkowo ekspert zwrócił uwagę, że Kaspersky używał bieżąco czasu systemowego w sekundach, jako podstawy w generatorze liczb pseudolosowych Mersenne Twister. W praktyce przekładało się to na to, że każda instancja KPM na świecie wygeneruje dokładnie to samo hasło w danej sekundzie. Ponieważ jednak program ma animację, która trwa dłużej niż sekundę po utworzeniu hasła, ten problem nie został wcześniej wykryty. Podsumowując, konsekwencje były i są oczywiste: każde hasło z KPM mogło być złamane metodą brute-force.

Wersje KPM przed 9.0.2 Patch F w systemie Windows, a także 9.2.14.872 w Androidzie i 9.2.14.31 w iOS były dotknięte tymi problemami. Kaspersky zastąpił jednak Mersenne Twistera funkcją BCryptGenRandom w swojej nowszej wersji. Firma została też poinformowana o lukach w czerwcu 2019 r. i wydała poprawkę w październiku tego roku. Z kolei w październiku 2020 niektórzy użytkownicy zostali poinformowani o konieczności wygenerowania niektórych haseł, a Kaspersky opublikował jeszcze poradnik bezpieczeństwa 27 kwietnia br.

"Wszystkie publiczne wersje Kaspersky Password Manager podatne na ten problem mają teraz nową logikę generowania haseł i alert o aktualizacji haseł w przypadku, gdy wygenerowane hasło prawdopodobnie nie jest wystarczająco silne" - informuje Kapsersky.