A Kaspersky Password Manager (KPM) alkalmazása eléggé összetett módszereket alkalmaz a jelszavak előállításához, aminek az a nyilvánvaló célja, hogy nehezen feltörhető jelszavakkal nehezítse meg a "hétköznapi" jelszótörők dolgát. Az egyik ilyen technológia hátulütője azonban hosszú időn keresztül az volt, hogy jelentősen csökkentette az így generált jelszavak erejét a dedikált eszközökkel szemben – állítja a Ledger Donjon nevű részlegének biztonsági vezetője egy idén tavasszal megszüntetett hiba kapcsán.

A cég hivatalos blogján közzétett bejegyzés szerint a KPM olyan technikákat vet be a kulcsok védelmében, hogy például gyakrabban jeleníti meg bennük az amúgy ritkábban használt betűket. Ennek vélhető oka, hogy a jelszavak feltörésre irányuló módszerek figyelembe vehetnek olyan szükségszerűségeket, mint hogy az emberek által létrehozott jelszavakban gyakrabban található "e" vagy "a" karakter, mint mondjuk "x" vagy "j", de a "th" vagy a "he" betűkapcsolatok is sűrűbben fordulnak elő a "qx" vagy a "zr" pároknál.

Ezt a posztban is okos trükknek nevezik, és valószínűsítik, hogy a KPM által alkotott jelszavak feltörése az átlagosnál jóval hosszabb ideig tart a hekkerek által erre a célra alkalmazott eszközök segítségével. Abban az esetben viszont, ha a támadó kiokoskodja, hogy a KPM-mel van dolga, a jelszómenedzser korábbi kiadásainak egyik jellegzetessége saját maga ellen fordítható, és a jelszavak sokkal könnyebben megfejthetővé válnak, mintha egy akármilyen véletlenszerű kulcsról lenne szó.

Vissza a legegyszerűbb módszerhez

A probléma állítólag a Mersenne Twister randomizáló algoritmus alkalmazásából eredt, pontosabban abból, hogy a KPM a generátor seed értékét az aktuális rendszeridő másodperc alapú értékéből eredeztette. Ez azt jelenti, hogy az adott pillanatban a Kaspersky programjának minden példánya tök ugyanazt a jelszót hozta létre a világ bármely pontján.

Ha azt vesszük, hogy 2010 és 2021 között valamivel több mint 315 millió másodperc telt el, akkor abból az következik, hogy a KPM ez alatt az idő alatt ugyanennyi jelszót dobott fel az adott karakterkészletekből. A 315 millió pedig csak gombócból nagyon sok, de a brute force támadások percek alatt sikeresen lefuttathatók ezen a nagyságrenden, gyors és nagy kapacitású célhardverek segítségével kipróbálva az összes lehetséges kulcsot.

A Ledger Donjon szakértői ehhez hozzáteszik, hogy az oldalak vagy szolgáltatások java része megjeleníti, hogy mikor hoztak bennük létre egy-egy fiókot, ebben az esetben pedig a KPM felhasználóit alig több mint 100 lehetséges variáció védheti a bruteforce kísérletek ellen. Fontos hangsúlyozni, hogy a bejegyzés egy két évvel ezelőtti felfedezést ismertet.

A problémát azóta orvosolták, és a KPM jelenleg publikusan elérhető kiadásaiban már nem kell számolni vele, bár a 2019 októberében felfedezett hiba javításáról hivatalosan csak idén áprilisban számoltak be. A tanulság viszont mindenképpen az, hogy a digitális identitásokat védő, valóban erős jelszavaknak mindenképpen eltérőnek kell lenniük az összes felhasználói fiók esetében.

A Kaspersky szerkesztőségünknek küldött állásfoglalásából kiderül, hogy a KPM időközben kijavított hibája valóban lehetővé tette a támadóknak az alkalmazás által generált jelszavakat megismerését, ez azonban a gyártó tájékoztatása szerint csak abban a ​valószínűtlen esetben volt lehetséges, ha a támadó ismerte a felhasználói fiók adatait és a jelszó generálásának pontos idejét, illetve ha a célpont csökkentette a jelszó összetettségét.

A vállalat által kiadott javítás egy olyan folyamat beépítését is tartalmazza, amely értesíti a felhasználókat, ha az eszköz által létrehozott speciális jelszó sérülékeny lehet, és változtatni kell rajta. A Kaspersky természetesen minden felhasználójának azt javasolja, hogy telepítse a legújabb frissítéseket, amit megkönnyít, hogy a cég otthoni termékei támogatják ennek automatikus elvégzését.