Forscher: Kaspersky Passwort-Manager erstellt leicht zu knackende Passwörter

Der Sicherheitsforscher Jean-Baptiste Bédrune hat herausgefunden, dass der Passwort-Manager von Kaspersky Kennwörter generiert, die sich per Brute-Force-Angriffen leicht knacken lassen. Von Kaspersky benutzte Techniken engen die Zahl der möglichen Passwörter ein, unter Umständen auf rund 100.

Kaspersky entwickelte dem Forscher zufolge eine Methode für die Generierung von Passwörtern, die vor allem häufig benutzten Passwort-Cracker standhalten. “Allerdings reduziert diese Methode die Stärke der Passwörter gegen bestimmte Tools”, erklärte der Forscher.

Ihm zufolge nehmen Passwort-Cracker in der Regel an, dass bestimmte Buchstaben und Buchstabenpaare wie “a”, “e”, “th” oder “he” häufiger vorkommen als beispielsweise “x”, “j” oder “zr”. “Von KPM generierte Passwörter werden im Durchschnitt weit unten in der Liste der von diesen Tools getesteten Passwörter stehen. Wenn ein Angreifer versucht, eine Liste von Kennwörtern zu knacken, die von KPM generiert wurden, wird er wahrscheinlich ziemlich lange warten, bis das erste gefunden wird. Dies ist ziemlich clever”, ergänzte Bédrune.

Ein Angreifer, der wisse, dass ein Passwort mit dem Kaspersky Passwort Manager (KPM) erstellt wurde, habe indes leichtes Spiel. Er können den Umstand, dass das Kennwort nicht rein zufällig generiert wurde, zu seinem Vorteil nutzen.

Eine weitere Schwachstelle ist Bédrune zufolge, dass Kaspersky als zufällige Komponente bei der Generierung von Passwörtern die Sekundenzahl der aktuellen Systemzeit verwendet. “Das bedeutet, dass jede Instanz des Kaspersky Password Manager zu einer bestimmten Uhrzeit weltweit genau dasselbe Kennwort erzeugt.”

Auch die Zahl der von KPM generierten unterschiedlichen Passwörter sei dadurch limitiert, und zwar auf ein Kennwort pro Sekunde. Für den Zeitraum von 2010 bis 2019 ergeben sich ihm zufolge somit 315.619.200 Passwörter. “Sie per Brute Force zu knacken dauert wenige Minuten.”

Besonders schwerwiegend sei dieses Problem bei Websites, die die Uhrzeit inklusive Sekunde anzeigen, zu der ein Benutzerkonto erstellt wurde. In dem Fall müssten bei einem Brute-Force-Angriff nur etwa 100 mögliche Passwörter verarbeitet werden.

Inzwischen hat Kaspersky die Schwachstellen in seinem Passwort-Manager beseitigt. Das Unternehmen wusste bereits seit Juni 2019 von den Problemen. Im April 2021 forderte Kaspersky in einer Sicherheitswarnung auf, bestimmte Passwörter erneut zu generieren. Betroffen sind die Versionen 9.0.2 Patch F und früher für Windows, 9.2.14.872 und früher für Android und 9.2.14.31 und früher für iOS.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Bahn lässt Robo-Hund auf Graffitis los

In München läuft ein vierbeiniger Roboter durch die Abstellanlagen der S-Bahn und meldet Auffälligkeiten an…

11 Stunden ago

Positiver ROI ist das beste Argument für KI-Projekte

2023 war das Jahr des Experimentierens mit KI. 2024 zieht KI in den Arbeitsalltag ein,…

12 Stunden ago

Industrie 4.0-Adaption: China fast immer in der Pole Position

Laut Umfrage nutzen 94% der chinesischen Fertigungsunternehmen KI-basierte Lösungen. In der DACH-Region liegt der Vergleichswert…

1 Tag ago

Cybersicherheit: Deutsche Autobauer fahren hinterher

Laut Kaspersky-Umfrage hat kaum jeder zehnte den neuen UN-Standard WP.29 implementiert. Weiterer 28% haben noch…

1 Tag ago

BSI warnt vor kritischen Schwachstellen in Microsoft Exchange Server

Rund 17.000 Exchange-Server-Installation in Deutschland gelten als stark gefährdet. Sie werden entweder nicht mehr von…

1 Tag ago

Porsche eBike Performance setzt auf KI-gestützte Software

Die Porsche-Tochter hat mit Automatisierungsfunktionen und Bots in Freshservice den IT-Service automatisiert und skaliert.

2 Tagen ago