Forscher: Kaspersky Passwort-Manager erstellt leicht zu knackende Passwörter

Der Sicherheitsforscher Jean-Baptiste Bédrune hat herausgefunden, dass der Passwort-Manager von Kaspersky Kennwörter generiert, die sich per Brute-Force-Angriffen leicht knacken lassen. Von Kaspersky benutzte Techniken engen die Zahl der möglichen Passwörter ein, unter Umständen auf rund 100.

Kaspersky entwickelte dem Forscher zufolge eine Methode für die Generierung von Passwörtern, die vor allem häufig benutzten Passwort-Cracker standhalten. “Allerdings reduziert diese Methode die Stärke der Passwörter gegen bestimmte Tools”, erklärte der Forscher.

Ihm zufolge nehmen Passwort-Cracker in der Regel an, dass bestimmte Buchstaben und Buchstabenpaare wie “a”, “e”, “th” oder “he” häufiger vorkommen als beispielsweise “x”, “j” oder “zr”. “Von KPM generierte Passwörter werden im Durchschnitt weit unten in der Liste der von diesen Tools getesteten Passwörter stehen. Wenn ein Angreifer versucht, eine Liste von Kennwörtern zu knacken, die von KPM generiert wurden, wird er wahrscheinlich ziemlich lange warten, bis das erste gefunden wird. Dies ist ziemlich clever”, ergänzte Bédrune.

Ein Angreifer, der wisse, dass ein Passwort mit dem Kaspersky Passwort Manager (KPM) erstellt wurde, habe indes leichtes Spiel. Er können den Umstand, dass das Kennwort nicht rein zufällig generiert wurde, zu seinem Vorteil nutzen.

Eine weitere Schwachstelle ist Bédrune zufolge, dass Kaspersky als zufällige Komponente bei der Generierung von Passwörtern die Sekundenzahl der aktuellen Systemzeit verwendet. “Das bedeutet, dass jede Instanz des Kaspersky Password Manager zu einer bestimmten Uhrzeit weltweit genau dasselbe Kennwort erzeugt.”

Auch die Zahl der von KPM generierten unterschiedlichen Passwörter sei dadurch limitiert, und zwar auf ein Kennwort pro Sekunde. Für den Zeitraum von 2010 bis 2019 ergeben sich ihm zufolge somit 315.619.200 Passwörter. “Sie per Brute Force zu knacken dauert wenige Minuten.”

Besonders schwerwiegend sei dieses Problem bei Websites, die die Uhrzeit inklusive Sekunde anzeigen, zu der ein Benutzerkonto erstellt wurde. In dem Fall müssten bei einem Brute-Force-Angriff nur etwa 100 mögliche Passwörter verarbeitet werden.

Inzwischen hat Kaspersky die Schwachstellen in seinem Passwort-Manager beseitigt. Das Unternehmen wusste bereits seit Juni 2019 von den Problemen. Im April 2021 forderte Kaspersky in einer Sicherheitswarnung auf, bestimmte Passwörter erneut zu generieren. Betroffen sind die Versionen 9.0.2 Patch F und früher für Windows, 9.2.14.872 und früher für Android und 9.2.14.31 und früher für iOS.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Im Blindflug in Richtung Nachhaltigkeit

Eine Mehrheit der deutschen Unternehmen will klimaneutral werden. Aber wie? Für eine Antwort fehlen ihnen…

14 Stunden ago

Unternehmen unterschätzen Cyberrisiken durch vernetzte Partner und Lieferanten

Firmen stufen Sicherheitsrisiken ihrer Partner in digitalen Ökosystemen und Lieferketten als wenig besorgniserregend ein.

14 Stunden ago

Silicon DE im Fokus Podcast: Microsoft und der Mittelstand

Im Silicon DE Podcast erläutert Oliver Gürtler, Leiter des Mittelstandsgeschäfts bei Microsoft Deutschland, im Gespräch…

16 Stunden ago

Microsoft Edge erhält neue Sicherheitsfunktion für “unbekannte” Websites

Der Browser wendet beim Besuch bestimmter Websites automatisch strengere Sicherheitsregeln an. Nutzer müssen den erweiterten…

22 Stunden ago

August-Patchday: Microsoft schließt aktiv ausgenutzte Zero-Day-Lücke

Sie ist eigentlich schon seit Dezember 2019 bekannt. Eine weitere Zero-Day-Lücke wird bisher nicht aktiv…

24 Stunden ago

Microsoft warnt vor möglichem Datenverlust bei Windows-Systemen mit aktuellen CPUs

Betroffen sind Windows-Rechner, die den Befehlssatz VAES unterstützen. Ein Update reduziert vorübergehend die Leistung AES-basierter…

2 Tagen ago