Kaspersky Passwort Manager generierte leicht zu erratende Passwörter
Quelle: Kaspersky

Kaspersky Passwort Manager generierte leicht zu erratende Passwörter

Der Passwort Manager von Kaspersky soll zwischen März 2019 und Oktober 2020 Passwörter generiert haben, die den Sicherheitsansprüchen nicht genügen.
8. Juli 2021

     

Eigentlich benutzt man Passwort-Manager, um zufällig generierte Passwörter verwenden zu können, die praktisch unmöglich zu erraten sind. Wer nun aber den Passwort Manager von Kaspersky verwendet hat, dem wurden mehrere Monate lang offenbar Passwörter vorgeschlagen, die relativ einfach zu erraten waren. Dies berichten die Sicherheitsforscher von Donjon in einem Blog-Beitrag.


Wie zu lesen ist, hat Kaspersky im März 2019 ein Update für seinen Kaspersky Password Manager (KPM) ausgeliefert, mit dem schwache Passwörter entdeckt und durch starke Passwörter ersetzt werden sollen. Jedoch soll keine der beiden Aufgaben zufriedenstellend erledigt worden sein. Der sogenannte Pseudozufallszahlengenerator (PRNG) war offenbar nicht zufällig genug, um Passwörter zu generieren, die nicht erraten werden können. Dies darum, weil Kaspersky zum Generieren der vermeintlich zufälligen Passwörter als Basis einfach die aktuelle Uhrzeit in Sekunden verwendete. Dies hatte einerseits zu Folge, dass Nutzern, die zur selben Zeit ein Passwort generierten, auch dasselbe Passwort vorgeschlagen wurde. Zudem war dadurch auch die Zahl der möglichen Passwörter viel zu klein. Laut Donjon verstrichen zwischen 2020 und 2021 315'619'200 – gemäss den Experten sollen sich so erstellte Passwörter mittels Bruteforce-Verfahren in Sekunden knacken lassen.
Offenbar wurde Kaspersky bereits im Juni 2019 über das Problem informiert, und in den Monaten darauf wurden auch Updates verteilt, mit denen stärkere Passwörter generiert wurden. Allerdings blieben die bereits erstellten Passwörter nach wie vor aktiv. Erst im letzten Oktober erzwang Kaspersky mittels Update ein Ersetzen der schwachen Passwörter. Dokumentiert wurde das Problem erstmals in einem Security Advisory im April.


Wer die Lösung also einsetzt, sollte sichergehen, dass auf Windows die Version 9.0.2 Patch F, auf Android Version 9.2.14.872 und auf iOS Version 9.2.14.31 verwendet wird. (mw)


Weitere Artikel zum Thema

Microsoft Authenticator ist neu auch ein Passwortmanager

17. Dezember 2020 - Microsoft Authenticator bietet neu auch Passwortverwaltung und Autofill-Funktionen. Die Features befinden sich zwar noch in der Preview, lassen sich aber schon nutzen.

Apple lanciert Open Source Tools zur Entwicklung von Passwort-Managern

9. Juni 2020 - Mit einer Reihe von Open Source Tools will Apple den Entwicklern von Passwort-Managern entgegenkommen. Bisher scheitern diese unter anderem immer wieder an unterschiedlichen Vorgaben bezüglich dem Einsatz von Sonderzeichen.

Dropbox lanciert Passwort-Manager

8. Juni 2020 - Der Online-Speicherdienst Dropbox hat einen Passwort Manager veröffentlicht. Dropbox Passwords ist für Android-Geräte als Early-Access-Version im Google Play Store erhältlich.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Aus welcher Stadt stammten die Bremer Stadtmusikanten?
GOLD SPONSOREN
SPONSOREN & PARTNER