Bár a Kaspersky Password Manager kifejezetten hatékony a szofisztikált támadásokkal szemben, kiderült, hogy sokáig éppen a legprimitívebb módszerrel lehetett percek alatt kifogni rajta.

A Kaspersky Password Manager (KPM) alkalmazása eléggé összetett módszereket alkalmaz a jelszavak előállításához, aminek az a nyilvánvaló célja, hogy nehezen feltörhető jelszavakkal nehezítse meg a "hétköznapi" jelszótörők dolgát. Az egyik ilyen technológia hátulütője azonban hosszú időn keresztül az volt, hogy jelentősen csökkentette az így generált jelszavak erejét a dedikált eszközökkel szemben – állítja a Ledger Donjon nevű részlegének biztonsági vezetője egy idén tavasszal megszüntetett hiba kapcsán.

A cég hivatalos blogján közzétett bejegyzés szerint a KPM olyan technikákat vet be a kulcsok védelmében, hogy például gyakrabban jeleníti meg bennük az amúgy ritkábban használt betűket. Ennek vélhető oka, hogy a jelszavak feltörésre irányuló módszerek figyelembe vehetnek olyan szükségszerűségeket, mint hogy az emberek által létrehozott jelszavakban gyakrabban található "e" vagy "a" karakter, mint mondjuk "x" vagy "j", de a "th" vagy a "he" betűkapcsolatok is sűrűbben fordulnak elő a "qx" vagy a "zr" pároknál.

Ezt a posztban is okos trükknek nevezik, és valószínűsítik, hogy a KPM által alkotott jelszavak feltörése az átlagosnál jóval hosszabb ideig tart a hekkerek által erre a célra alkalmazott eszközök segítségével. Abban az esetben viszont, ha a támadó kiokoskodja, hogy a KPM-mel van dolga, a jelszómenedzser korábbi kiadásainak egyik jellegzetessége saját maga ellen fordítható, és a jelszavak sokkal könnyebben megfejthetővé válnak, mintha egy akármilyen véletlenszerű kulcsról lenne szó.

Vissza a legegyszerűbb módszerhez

A probléma állítólag a Mersenne Twister randomizáló algoritmus alkalmazásából eredt, pontosabban abból, hogy a KPM a generátor seed értékét az aktuális rendszeridő másodperc alapú értékéből eredeztette. Ez azt jelenti, hogy az adott pillanatban a Kaspersky programjának minden példánya tök ugyanazt a jelszót hozta létre a világ bármely pontján.

Ha azt vesszük, hogy 2010 és 2021 között valamivel több mint 315 millió másodperc telt el, akkor abból az következik, hogy a KPM ez alatt az idő alatt ugyanennyi jelszót dobott fel az adott karakterkészletekből. A 315 millió pedig csak gombócból nagyon sok, de a brute force támadások percek alatt sikeresen lefuttathatók ezen a nagyságrenden, gyors és nagy kapacitású célhardverek segítségével kipróbálva az összes lehetséges kulcsot.

A Ledger Donjon szakértői ehhez hozzáteszik, hogy az oldalak vagy szolgáltatások java része megjeleníti, hogy mikor hoztak bennük létre egy-egy fiókot, ebben az esetben pedig a KPM felhasználóit alig több mint 100 lehetséges variáció védheti a bruteforce kísérletek ellen. Fontos hangsúlyozni, hogy a bejegyzés egy két évvel ezelőtti felfedezést ismertet.

A problémát azóta orvosolták, és a KPM jelenleg publikusan elérhető kiadásaiban már nem kell számolni vele, bár a 2019 októberében felfedezett hiba javításáról hivatalosan csak idén áprilisban számoltak be. A tanulság viszont mindenképpen az, hogy a digitális identitásokat védő, valóban erős jelszavaknak mindenképpen eltérőnek kell lenniük az összes felhasználói fiók esetében.

A Kaspersky szerkesztőségünknek küldött állásfoglalásából kiderül, hogy a KPM időközben kijavított hibája valóban lehetővé tette a támadóknak az alkalmazás által generált jelszavakat megismerését, ez azonban a gyártó tájékoztatása szerint csak abban a ​valószínűtlen esetben volt lehetséges, ha a támadó ismerte a felhasználói fiók adatait és a jelszó generálásának pontos idejét, illetve ha a célpont csökkentette a jelszó összetettségét.

A vállalat által kiadott javítás egy olyan folyamat beépítését is tartalmazza, amely értesíti a felhasználókat, ha az eszköz által létrehozott speciális jelszó sérülékeny lehet, és változtatni kell rajta. A Kaspersky természetesen minden felhasználójának azt javasolja, hogy telepítse a legújabb frissítéseket, amit megkönnyít, hogy a cég otthoni termékei támogatják ennek automatikus elvégzését.

Biztonság

Ezek a robotok tényleg elvehetik a munkát

A Xiaomi gyártósorokra tervezett humanoid robotjai a legutóbbi teszteken már közel olyan jól teljesítettek, mint egy tapasztalt üzemi munkás.
 
Előrelátó tervezés és meghatározott menetrend segíti az incidensek minél gyorsabb elhárítását. Ehhez azonban sok feladatot és felelősséget kell tisztázni – még jóval azelőtt, hogy bekövetkezik a baj.

a melléklet támogatója a ONE Solutions

Egy kormányrendelet alapjaiban formálják át 2026-tól az állami intézmények és vállalatok szoftvergazdálkodási gyakorlatát.

Projektek O-gyűrűje. Mit tanulhat egy projektvezető a Challenger tragédiájából?

A Corvinus Egyetem és a Complexity Science Hub kutatói megmérték: a Python kódok közel harmadát ma már mesterséges intelligencia írja, és ebből a szenior fejlesztők profitálnak.

Rengeteg ország áll át helyi MI-platformra

Ön sem informatikus, de munkája során az információtechnológia is gyakran befolyásolja döntéseit? Ön is informatikus, de pénzügyi és gazdasági szempontból kell igazolnia a projektek hasznosságát? Mi közérthető módon, üzleti szemmel dolgozzuk fel az infokommunikációs híreket, trendeket, megoldásokat. A Bitport tizennegyedik éve közvetít sikeresen az informatikai piac és a technológiát hasznosító döntéshozók között.
© 2010-2026 Bitport.hu Média Kft. Minden jog fenntartva.