Kaspersky Password Manager: pesquisador aponta falhas no programa de geração de senhas e empresa se pronuncia sobre o caso. Entenda - Programadores Brasil
Segurança Digital

Kaspersky Password Manager: pesquisador aponta falhas no programa de geração de senhas e empresa se pronuncia sobre o caso. Entenda

2 Mins read

O pesquisador chefe da Ledger Donjon, Jean-Baptiste Bédrune, identificou falhas graves Kaspersky Password Manager. Segundo Bérdrune, o gerenciador de senhas da Kapersky Lab, e primeiro produto da empresa, utilizava recursos que geravam senhas fracas, facilitando a vida dos hackers.

De acordo com o pesquisador, o principal problema era o Kaspersky Password Manager usar a marcação de tempo como parâmetro para a criação de senhas.

“O grande erro do KPM foi o usar o sistema de tempo atual em segundos como parâmetro para aplicação em um gerador aleatório de números Mersenne Twister. Isso significa que todas as instâncias do Kaspersky Password Manager no mundo vão usar exatamente a mesma senha em determinado segundo”, explicou.

O citado “Mersenne Twister” é um termo comum entre desenvolvedores e profissionais de segurança digital. Esse é o parâmetro mais conhecido e mais usado para a geração de combinações numéricas aleatórias, uma importante premissa para configuração de senhas mais seguras.

O pesquisador detalhou de maneira mais fácil como funciona na prática a falha descoberta:

“Imagine que existam 315.619.200 de segundos entre ‘2010’ e ‘2021’”. Assim, o KPM poderia gerar, no máximo, esse mesmo número de senhas para cada pedido. Adivinhar ou quebrar uma senha por força bruta neste parâmetro não leva mais do que alguns minutos”.

Veja também: Dropbox Passwords: Gerenciador de senhas ganha versão gratuita. Confira

Kaspersky Password Manager também tinha falhas no uso de combinação de letras

Além disso, ainda há um segundo problema: o Kaspersky Password Manager evitar os “ataques de dicionário” e usar combinações de letras que não existem em palavras comuns, como qz,zx e assim por diante.

Esse tipo de ataque, de natureza de “força bruta”, utiliza combinações comuns de letras, para adivinhar uma senha. No entanto, se um hacker souber que a vítima usa o KPM, basta ele ajustar os parâmetros para procurar sugestões de senha que usem combinações inexistentes.

Segundo Bérdrune, e, ambos os casos, todas as senhas geradas pela ferramenta até outubro de 2019 podem ser quebradas por força bruta.

A Kapersky Lab, por sua vez, reconheceu que os apontamentos feitos pelo pesquisador são evidentes. Mas, a empresa garantiu que já atualizou seu sistema de lógica para geração de senhas.

Veja também: [+] 4 Dicas de Como Escolher Os Melhores Cursos de Programação.

Empresa emitiu um comunicado sobre o caso

Ainda assim, a recomendação para os que usam Kaspersky Password Manager desde antes de outubro de 2019 é revisar suas credenciais, para manter a segurança. A empresa ainda emitiu um comunicado sobre o caso. Veja abaixo:

“A Kaspersky corrigiu um problema de segurança no Kaspersky Password Manager, que potencialmente permitia a um invasor descobrir senhas geradas pela ferramenta. Esse problema só era possível de ser aproveitado no evento improvável de o invasor conhecer as informações de conta do usuário e o momento exato em que uma senha foi criada. Ele também exigia que o alvo reduzisse a complexidade de seus ajustes de segurança.

A empresa já distribuiu uma atualização para o produto e incorporou um mecanismo que notifica usuários se uma senha específica gerada por ele possa estar vulnerável, recomendando a alteração.

Nós recomendamos a todos os usuários que instalem a atualização. Para facilitar este processo, nossos produtos oferecem suporte a updates automáticos”.

Veja também: [+] Compre seu Notebook com super Desconto na Amazon.

*Com informações do Olhar Digital*


Deixe o seu comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *