卡巴斯基的密碼管理器鬧烏龍生成可以被輕鬆破解的弱密碼
安全研究人員顯示,卡巴斯基的密碼生成器程序(KPM)在2019年更新前曾經會使用當前時間作為依據而生成密碼,這導緻密碼容易被破解。密碼生成器並不總是完全隨機的,因為在完全隨機的序列中,有可能出現弱密碼。然而,卡巴斯基沒有使用多層邏輯來設定一個強大的密碼,而是只使用當前的時間來確定生成的密碼。
ZDNet分享了由Ledger Donjon進行的研究,解釋了使用這種邏輯來生成密碼背後的問題。根據該研究,這意味著世界上每一個卡巴斯基的實例都會在某一秒生成相同的密碼。換句話說,試圖入侵用戶賬戶的人只需要知道該賬戶是何時創建的,以及是否使用了卡巴斯基密碼管理器,創建的每個密碼都可以被輕易破解。
“如果攻擊者知道一個人使用KPM,他將能夠比完全隨機的密碼更容易破解他的密碼,”Ledger Donjon的首席安全研究員說。”不過,我們的建議是,生成足夠長的隨機密碼,使其強大到無法被工具破解。”