近日，一位安全研究人員稱，卡巴斯基密碼管理器中的一個漏洞導致其創建的密碼安全性降低，攻擊者可以在幾秒鐘內對其進行暴力破解。

　　由俄羅斯安全公司卡巴斯基開發的卡巴斯基密碼管理器（KPM）不僅能讓用戶安全地存儲密碼和文檔，還能在需要時生成密碼。

　　存儲在KPM保管庫中的所有敏感數據均受主密碼保護。該應用程序適用于Windows、macOS、Android和iOS，即使是敏感數據也可以通過網絡訪問。

　　大約兩年前，Ledger安全研究員Jean-Baptiste Bédrune發現該應用程序的問題在于其安全密碼生成機制很弱，攻擊者可以在幾秒鐘內暴力破解KPM創建的密碼。

　　KPM能夠默認生成12個字符的密碼，但允許用戶通過修改KPM界面中的設置（例如密碼長度、大小寫字母、數字和特殊字符的使用）來進行密碼個性化修改。

　　Ledger的研究人員解釋說，KPM的問題也是它與其他密碼管理器的不同之處：為了創建與已生成密碼盡可能不同的新密碼，該應用程序變得可預測。

　　“密碼本來是為了防止常用密碼破解程序被破解而創建的。然而，攻擊者卻掌握了KPM生成密碼所采用的算法。”Bédrune說。

　　“我們可以得出結論，密碼生成算法本身并沒有那么糟糕，它會抵制破解工具。但如果攻擊者知道一個目標人物使用的是KPM生成的密碼，將能夠更容易破解它。”研究人員說。

　　該漏洞被跟蹤為CVE-2020-27020，與使用非加密安全的偽隨機數生成器（PRNG）有關。桌面應用程序使用Mersenne Twister PRNG，而網絡版本使用Math.random（）函數，這些函數都不適合生成加密安全信息。

　　研究人員發現，KPM使用系統時間作為種子來生成每個密碼，這意味著世界上每個KPM實例都會在給定的特定時刻內生成完全相同的密碼。

　　“這一漏洞造成的后果顯然很糟糕，每個密碼都可能被暴力破解。例如，2010年和2021年之間有315619200秒，因此KPM最多可以為給定的字符集生成315619200個密碼，暴力破解它們只需要幾分鐘時間。”Bédrune說。

　　卡巴斯基于2019年開始發布補丁，但僅在2021年4月發布了公告。

　　“密碼生成器在加密方面并不完全強大，在某些情況下，攻擊者在知道一些額外信息（例如，密碼生成時間）后，可能會預測用戶的密碼。所有可能出現此問題的KPM公共版本現在都更新了新的密碼生成邏輯和密碼更新警報。”卡巴斯基在其公告中指出。

　　同時公告還建議用戶盡快更新到Kaspersky Password Manager for Windows 9.0.2 Patch F、Kaspersky Password Manager for Android 9.2.14.872和Kaspersky Password Manager for iOS 9.2.14.31。