Kaspersky Password Manager generava password... poco sicure

08 Luglio 2021 11

Per un certo periodo e in determinate condizioni, Kaspersky Password Manager è stato parte del problema che è nato per risolvere: e cioè la sicurezza delle password. La magra consolazione è che non è il solo. Negli scorsi giorni, alcuni ricercatori di sicurezza hanno annunciato di essere riusciti a ricreare l'algoritmo che generava le stringhe del software, rendendo quindi possibile per un hacker rubare l'account di un utente.

Le indagini di Ledger, la divisione che si occupa di infosec presso Donjon, risalgono a due anni fa, ma solo l'altro ieri, un lungo post sul blog ufficiale (link in FONTE), sono stati raccontati tutti i dettagli. La falla principale nell'algoritmo di Kaspersky è che il seme, ovvero il dato di partenza da cui veniva generata la password, era la data di sistema, espressa in secondi, del dispositivo su cui il servizio veniva usato; ciò significa che ogni istanza del software nel mondo genera la stessa identica password in un dato secondo. Probabilmente ci è voluto un po' prima che qualcuno se ne accorgesse perché l'animazione di attesa durante la generazione dura più di un secondo.

I ricercatori spiegano che ci sono 315.619.200 secondi in un anno, e quindi altrettante password generate da Kaspersky Password Manager. Già così, un attacco di tipo brute force ci metterebbe qualche minuto al massimo a testare tutte le combinazioni su un database locale, ma considerando che spesso viene specificata in modo piuttosto preciso la data di creazione di un account il campo si potrebbe ulteriormente restringere a poche decine di tentativi; questione di istanti, insomma - torniamo a precisare, che è importante, sempre ammesso che si tratti di un database locale.

Se si tenta invece di accedere a un sito web, che è lo scenario più plausibile, le cose si complicano, perché la maggior parte di essi (almeno i più grossi e conosciuti) ormai implementa misure anti-brute forcing. In ogni caso, ad aggravare la questione e restringere il campo delle probabilità ci sono alcune tecniche di affinamento, come per esempio cercare di basarsi su combinazioni di lettere che non si trovano nelle parole del dizionario, come per esempio "qz" o "gj". Sono molto efficaci in linea generale, ma solo finché l'hacker non sa che sono state usate.

Kaspersky è stata informata della vulnerabilità a giugno del 2019, e ha rilasciato un fix l'ottobre successivo, passando a un algoritm più sicuro. Un anno dopo, a ottobre 2020, il software ha avvisato gli utenti interessati di ri-generare e sostituire alcune delle password a rischio identificazione. Per essere ancora più espliciti, vale la pena assicurarsi che il numero di versione sia superiore a:

  • 9.0.2 Patch F su Windows
  • 9.2.14.872 su Android
  • 9.2.14.31 su iOS

Insomma, la vulnerabilità è stata risolta, è passato un bel po' di tempo e ormai è ragionevolmente sicuro parlarne. Kaspersky ci ha comunque tenuto a precisare che per indovinare una password l'hacker avrebbe dovuto conoscere i dettagli dell'account della vittima e la data esatta di generazione della password (che, effettivamente, non coincide proprio alla perfezione con la data di creazione dell'account). Inoltre, l'utente avrebbe dovuto scegliere attivamente di abbassare il livello di complessità delle password generate rispetto a quello impostato per default.

COMUNICATO DI KASPERSKY

L'azienda ci ha inviato uno statement in cui dichiara:

In linea con le best practice del settore, l'azienda ha anche avviato una revisione completa della sicurezza di Kaspersky Password Manager per identificare e incorporare misure aggiuntive, compresi i miglioramenti della crittografia.

Il migliori Smartphone Apple? Apple iPhone 12, in offerta oggi da atpservicepomezia a 675 euro oppure da Amazon a 749 euro.

11

Commenti

Regolamento Commentando dichiaro di aver letto il regolamento e di essere a conoscenza delle informazioni e norme che regolano le discussioni sul sito. Clicca per info.
Caricamento in corso. Per commentare attendere...
acca

Mah, vero, ma io uso solo Chrome

acca

Tramite chiavetta USB?

Yui Hirasawa

Sei rilegato a google però, invece con bitwarden puoi usarlo ovunque e non hai bisogno di account google

acca

E la gestione delle password di Google tramite Chrome? A me sembra che vada bene, e quelle che genera sono non semplici, così a vederle...

Le password generate in automatico vanno sempre completate con una parte di password che conosciamo solo noi, da porre all'inizio, alla fine, in centro o tutte e tre le cose e non salvata (in forma completa) nel psw manager.
Esempio: se la psw generata in automatico è 123456, tu la salvi così nel manager ma nel sito dove devi usarla, quando la propone per essere usata in fase di registrazione, la completi con abc123def456ghi.

imbarazzante un errore del genere da parte di chi si occupa di sicurezza da decenni.
Sempre che sia un errore, chiaro.

Lorenzomx

Bitwarden

Aster

L'unico neo che non crea file in locale,ma sempre vuole un account

maoix

keepass l'unica soluzione open source senza padroni che ti vendono al miglior offerente

Yui Hirasawa

Usate bitwarden e vivrete felici

Aster

Un po vecchia come notizia

Recensione OnePlus Nord 2: sarà lo smartphone giusto per molti

Xiaomi Mi 11 Lite come non l'avete mai visto | Video

Recensione Sony Xperia 1 III: super fotocamere e spirito bollente

Recensione vivo X60 Pro: cosa offre lo smartphone ufficiale degli Europei