最近的一份报告显示,卡巴斯基密码管理器多年来一直在使用一种不安全的密码生成方法,黑客可能会在几分钟内对其进行暴力破解。一些使用其服务的人现在需要更改他们的密码。
理想情况下,密码应该容易记住而计算机难以猜测,但在实践中,大多数人使用难以记住且计算机易于猜测的密码。因此,专家建议使用 LastPass、1Password、Bitwarden 和 Kaspersky Password Manager 等密码管理软件,这些解决方案可以生成和存储安全密码,因此用户只需记住一个安全密码即可确保网络安全。那些使用 Kaspersky Password Manager 的人可能已经处于危险之中。顺便说一下,卡巴斯基终于解决了这个问题。
卡巴斯基密码管理器的缺陷是什么?
正如 ZDNet报道的那样,一位负责任地向卡巴斯基披露该缺陷以允许他们解决问题的研究人员解释说,密码管理解决方案存在两个缺陷。密码管理器使用随机数生成器来创建安全密码,但据报道卡巴斯基使用系统时间作为“种子”。
Ledger Donjon 的安全主管让-巴蒂斯特·贝德鲁内(Jean-Baptiste Bédrune)表示:“这意味着世界上每个卡巴斯基密码管理器实例都会在给定的时间内生成完全相同的密码。”“后果显然很糟糕:每个密码都可能被暴力破解。例如,2010 年和 2021 年之间有 315619200 秒,因此 KPM 最多可以为给定的字符集生成 315619200 个密码。暴力破解它们需要几分钟。”他加了。
另请阅读:正在寻找智能手机?在此处检查移动查找器。
报告称,Bédrune 还发现了该公司可能为抵御字典攻击而创建的第二个缺陷——黑客使用这种技术,系统地输入字典中的每个单词以找到密码。卡巴斯基会使用不常见的字母分组(如 zr 或 qz)来制作密码。使用此系统的明显缺点是,知道目标正在使用卡巴斯基密码管理器的黑客可以通过尝试这些字母组合更快地闯入系统。
你现在需要做什么
如果您在 2019 年 10 月之后使用 Kaspersky Password Manager 创建了一个帐户,您应该可以免受安全漏洞的影响,该漏洞导致生成不太安全的密码。如果您的用户使用时间更长,则可能需要重新生成您在 2019 年或之前生成的某些密码。该服务应通知您这些密码,这将使该过程更容易。
这是卡巴斯基不得不说的
研究人员于 2019 年 6 月将这个问题告知卡巴斯基,该公司致力于修复,并于四个月后的 10 月发布。一年后,该公司通知其用户他们需要更改一些密码。该公司最终于2021 年 4 月发布了一份公告,详细说明了其软件的哪些版本受到该问题的影响。卡巴斯基在公告中说:“所有可能出现此问题的卡巴斯基密码管理器的公共版本现在都有新的密码生成逻辑和密码更新警报,用于在生成的密码可能不够强的情况下。”