El Administrador de contraseñas de Kaspersky tuvo una falla en su técnica de generación de contraseñas, lo que llevó al servicio a sugerir contraseñas débiles para los usuarios durante meses.
Después de que se encontró la falla, Kaspersky informó a los usuarios que actualizaran sus contraseñas débiles y lanzó un parche para solucionar el problema. El problema se refería a una versión anterior de todos los clientes de KPM, que ahora están actualizados.
Error en Kaspersky Password Manager
Kaspersky, una empresa de seguridad cibernética que ofrece una gama de productos, desde software antivirus hasta monitoreo de amenazas, tiene uno de sus productos: el administrador de contraseñas tiene un error de diseño grave.
Revelando después de dos años, Kaspersky admitió tener el generador de contraseñas más débil en su Herramienta Kaspersky Password Manager (KPM).
Este fue visto por una consultora de seguridad llamada Donjon, quien dijo que KPM había utilizado un generador de números pseudoaleatorios (PRNG) para sugerir contraseñas seguras a sus usuarios de KPM.
El técnica PRNG fue insuficiente para crear contraseñas seguras aleatorias y no es adecuado para usos criptográficos. Y lo que es más importante, se basa en la creación de contraseñas utilizando una única fuente de entropía: la hora actual del dispositivo.
Esto lo hace vulnerable, ya que si el atacante logra averiguar la hora actual de creación de la contraseña, ¡podría hacerlo por fuerza bruta en segundos!
Por ejemplo, como explicó el equipo de Donjon, “hay 315619200 segundos entre 2010 y 2021, por lo que KPM podría generar como máximo 315619200 contraseñas para un juego de caracteres determinado.Por lo tanto, forzarlos por fuerza bruta lleva unos minutos.
Kaspersky se dio cuenta de la amenaza y emitió un parche para el cliente de Windows antes, pero aún tenía fallas. Más tarde, lanzó parches reales en la web, Windows, Android e iOS entre octubre y diciembre de 2019”.
Estos notificarían a los usuarios sobre las contraseñas débiles que tienen y pueden actualizarlas a las fuertes. El problema se rastreó con CVE-2020-27020 ID y aconsejó a los usuarios que actualicen sus clientes para mayor seguridad.
