卡巴斯基密码管理器生成的密码极易被破解
安全咨询公司 Donjon 发现,在 2019 年 3 月至 2020 年 10 月期间,卡巴斯基密码管理器(Kaspersky Password Manager,KPM)生成的密码可以在几秒钟内被破解。原因在于该工具使用的伪随机数生成器(PRNG)非常不适合加密用途。
Donjon 研究人员称,卡巴斯基密码管理器中包含的密码生成器存在有几个问题。其中最重要的是,PRNG 仅使用单一的熵源——当前时间。这意味着,它创建的每个密码都可已在几秒内被暴力破解。例如,在 2010 年和 2021 年之间有 315619200 秒,所以 KPM 对于一个给定的字符集最多可以生成 315619200 个密码;而攻破它们需要几分钟的时间。
网站或论坛显示一般都会显示账户的创建时间。在知道了账户的创建日期后,攻击者就可以尝试用小范围的密码(约 100 个)来暴力破解账户密码,并获得访问权。此外,如果使用卡巴斯基密码管理器生成的密码,也可以很容易地从泄漏的数据库中检索到包含散列密码、加密档案的密码、TrueCrypt/Veracrypt 卷等。
该问题被标记为 CVE-2020-27020,其中旧版本的密码管理器被描述为"不完全具有密码学强度,在某些情况下可能允许攻击者预测生成的密码"。虽然"攻击者需要知道一些额外的信息(例如,密码生成的时间)"的警告是有效的,但事实是,卡巴斯基密码的安全性明显低于人们的期待。
Donjon 的研究人员得出结论称:
卡巴斯基密码管理器使用了一种复杂的方法来生成其密码。这种方法的目的是创建标准密码破解器难以破解的密码。然而,这种方法降低了生成的密码对专用工具的强度。我们以 KeePass 为例,展示了如何生成安全的密码:只要你在给定的字符范围内偷看一个字母时,摆脱了"modulo bias",那么像随机抽签这样的简单方法就很安全。
我们还研究了卡巴斯基的 PRNG,结果发现它非常弱。它的内部结构是一个来自 Boost 库的 Mersenne twister,并不适合生成加密材料。但主要的缺陷是,这个 PRNG 是以当前时间为种子的,单位是秒。这意味着由脆弱版本的 KPM 生成的每个密码都可以在几分钟内被破解(如果你知道大概的生成时间,也可以在一秒钟内破解)。
最后,我们提供了一个概念证明,详细说明了 KPM 使用的完整生成方法。它可以用来验证卡巴斯基密码管理器<9.0.2 Patch F 的 Windows 版本中确实存在这个缺陷。顺便说一下,编写这个 PoC 使我们在计算密码字符出现频率时发现了一个越界读取,这使得密码的强度比它们应该有的要强一些。
目前该产品已更新,其最新版本不受此问题的影响。
更多详情可查看:https://donjon.ledger.com/kaspersky-password-manager/
