【捉到路】Kaspersky密碼產生器算式缺陷 幾分鐘可破解「隨機」產生密碼
密碼管理器一般都附帶有產生密碼功能,Kaspersky Password Manager 亦無例外,不過,有網絡安全研究員就發現它產生密碼的方法原來有跡可尋,而且不同用家在同一時間獲派的密碼更是一模一樣,咁都得?
戴返頭盔先,由網絡安全研究所 Ledger Donjon 發現的 Kaspersky Password Manager 密碼產生器缺陷,確實存在的日期是在兩年前的六月,經研究員 Jean-Baptiste Bedrune 向 Kaspersky 通報後,相隔一個月已有更新檔推出,效率非常之高。而 Bedrune 相隔兩年先舊事重提,純粹是分享有關密碼產生器應有的安全考慮。
Bedrune 在兩年前深入研究 Kaspersky Password Manager,從中找到背後的密碼產生法。他指出 Kaspersky 雖然會隨機產生密碼,但會優先將冷門英文字母放進隨機密碼內,例如會優先用 x 或 j,而較少用 e 或 a;優先用 qx 或 zr,較少用 th 或 he。研究員解釋 Kaspersky 用冷門字本身是為了拖慢暴力破解 (bruteforce) 的時間,因為一般來說暴力破解工具會先以較常用的字符去撞密碼,插入冷門字便可拖延一定時間。不過,當產生原理為黑客洞悉,冷門字反而會加速破解時間。
另外,Kaspersky 密碼產生器第二項缺陷是隨機密碼以秒作為產生基準,即如有兩個用家在同一時間產生密碼,雙方獲得的密碼都會一樣。研究員舉例在 2010 年至 2021 年之間有 315,619,200 個密碼可被產生出來,雖然億億聲,但以暴力破解工具去測試密碼組合,亦只不過需要幾分鐘。經 Bedrune 舉報後,Kaspersky 已在七月推出更新檔改良密碼產生算式,但差不多要到 2020 年 10 月,才有受影響用家收到通知,呼籲他們部分密碼須重新產生。如 Kaspersky Password Manager 的 Windows 版本在 9.0.2 或之前、Android 版在 9.2.14.872 或之前,以及 iOS 版本在 9.2.14.31 或之前,用家便要即時更新系統。