Eigentlich benutzt man Passwort-Manager, um zufällig generierte Passwörter verwenden zu können, die praktisch unmöglich zu erraten sind. Wer nun aber den Passwort Manager von
Kaspersky verwendet hat, dem wurden mehrere Monate lang offenbar Passwörter vorgeschlagen, die relativ einfach zu erraten waren. Dies berichten die Sicherheitsforscher von Donjon in einem
Blog-Beitrag.
Wie zu lesen ist, hat Kaspersky im März 2019 ein Update für seinen Kaspersky Password Manager (KPM) ausgeliefert, mit dem schwache Passwörter entdeckt und durch starke Passwörter ersetzt werden sollen. Jedoch soll keine der beiden Aufgaben zufriedenstellend erledigt worden sein. Der sogenannte Pseudozufallszahlengenerator (PRNG) war offenbar nicht zufällig genug, um Passwörter zu generieren, die nicht erraten werden können. Dies darum, weil Kaspersky zum Generieren der vermeintlich zufälligen Passwörter als Basis einfach die aktuelle Uhrzeit in Sekunden verwendete. Dies hatte einerseits zu Folge, dass Nutzern, die zur selben Zeit ein Passwort generierten, auch dasselbe Passwort vorgeschlagen wurde. Zudem war dadurch auch die Zahl der möglichen Passwörter viel zu klein. Laut Donjon verstrichen zwischen 2020 und 2021 315'619'200 – gemäss den Experten sollen sich so erstellte Passwörter mittels Bruteforce-Verfahren in Sekunden knacken lassen.
Offenbar wurde
Kaspersky bereits im Juni 2019 über das Problem informiert, und in den Monaten darauf wurden auch Updates verteilt, mit denen stärkere Passwörter generiert wurden. Allerdings blieben die bereits erstellten Passwörter nach wie vor aktiv. Erst im letzten Oktober erzwang Kaspersky mittels Update ein Ersetzen der schwachen Passwörter. Dokumentiert wurde das Problem erstmals in einem
Security Advisory im April.
Wer die Lösung also einsetzt, sollte sichergehen, dass auf Windows die Version 9.0.2 Patch F, auf Android Version 9.2.14.872 und auf iOS Version 9.2.14.31 verwendet wird.
(mw)
