Ga naar inhoud

Kaspersky Password Manager genereerde voorspelbare wachtwoorden


Aanbevolen berichten

Een kwetsbaarheid in de Password Manager van antivirusbedrijf Kaspersky maakte het in sommige gevallen mogelijk voor een aanvaller om gegenereerde wachtwoorden te voorspellen. De virusbestrijder heeft een beveiligingsupdate uitgerold om het beveiligingslek te verhelpen. Het beveiligingsonderzoekteam van cryptowallet Legder, dat het probleem in juni 2019 ontdekte en rapporteerde, heeft nu de details openbaar gemaakt.

De Kaspersky Password Manager (KPM) biedt een optie voor het genereren van wachtwoorden. Hierbij deden zich echter verschillende problemen voor. De grootste kwetsbaarheid was alleen het gebruik van de systeemtijd in seconden als "seed" voor het genereren van wachtwoorden. "Dit houdt in dat elke versie van Kaspersky Password Manager ter wereld op een gegeven seconde precies hetzelfde wachtwoord genereert", zegt onderzoeker Jean-Baptiste Bédrune.

Volgens Bédrune was het daardoor mogelijk om elk wachtwoord te bruteforcen. "Er zijn bijvoorbeeld 315619200 seconden tussen 2010 en 2021, dus KPM had maximaal 315619200 wachtwoorden voor een gegeven karakterset kunnen genereren. Het bruteforcen hiervan neemt een paar minuten in beslag", merkt de onderzoeker op.

Een voorwaarde was wel dat een aanvaller de tijd moest weten dat het wachtwoord werd gegenereerd. Veel websites en fora laten echter zien wanneer een account is aangemaakt. Aan de hand hiervan kan een aanvaller het accountwachtwoord met een klein aantal van zo'n honderd wachtwoorden proberen te bruteforcen en er zo toegang toe krijgen, stelt Bédrune.

Kaspersky werd op 15 juni 2019 voor de kwetsbaarheid (CVE-2020-27020) gewaarschuwd. Tien dagen later bevestigde de virusbestrijder het probleem. Het beveiligingslek werd in oktober en december 2019 voor verschillende platformen verholpen. In oktober 2020 rolde Kaspersky een update uit als oplossing voor eerder gegenereerde wachtwoorden. In april van dit jaar publiceerde Kaspersky het beveiligingsbulletin voor de kwetsbaarheid. Vandaag maakte Ledger de details openbaar.

 

bron: https://www.security.nl

Link naar reactie
Delen op andere sites


Dit is een verouderd onderwerp. Heb je een gelijkaardige vraag? Start dan een nieuw topic in dit forumonderdeel aub.

Doe mee aan dit gesprek

Je kunt dit nu plaatsen en later registreren. Indien je reeds een account hebt, log dan nu in om het bericht te plaatsen met je account.

Gast
Reageer op dit topic

×   Geplakt als verrijkte tekst.   Plak in plaats daarvan als platte tekst

  Er zijn maximaal 75 emoji toegestaan.

×   Je link werd automatisch ingevoegd.   Tonen als normale link

×   Je vorige inhoud werd hersteld.   Leeg de tekstverwerker

×   Je kunt afbeeldingen niet direct plakken. Upload of voeg afbeeldingen vanaf een URL in

 Delen

×
×
  • Nieuwe aanmaken...