Forscher: Kaspersky Passwort-Manager erstellt leicht zu knackende Passwörter

Der Sicherheitsforscher Jean-Baptiste Bédrune hat herausgefunden, dass der Passwort-Manager von Kaspersky Kennwörter generiert, die sich per Brute-Force-Angriffen leicht knacken lassen. Von Kaspersky benutzte Techniken engen die Zahl der möglichen Passwörter ein, unter Umständen auf rund 100.

Kaspersky entwickelte dem Forscher zufolge eine Methode für die Generierung von Passwörtern, die vor allem häufig benutzten Passwort-Cracker standhalten. “Allerdings reduziert diese Methode die Stärke der Passwörter gegen bestimmte Tools”, erklärte der Forscher.

Ihm zufolge nehmen Passwort-Cracker in der Regel an, dass bestimmte Buchstaben und Buchstabenpaare wie “a”, “e”, “th” oder “he” häufiger vorkommen als beispielsweise “x”, “j” oder “zr”. “Von KPM generierte Passwörter werden im Durchschnitt weit unten in der Liste der von diesen Tools getesteten Passwörter stehen. Wenn ein Angreifer versucht, eine Liste von Kennwörtern zu knacken, die von KPM generiert wurden, wird er wahrscheinlich ziemlich lange warten, bis das erste gefunden wird. Dies ist ziemlich clever”, ergänzte Bédrune.

Ein Angreifer, der wisse, dass ein Passwort mit dem Kaspersky Passwort Manager (KPM) erstellt wurde, habe indes leichtes Spiel. Er können den Umstand, dass das Kennwort nicht rein zufällig generiert wurde, zu seinem Vorteil nutzen.

Eine weitere Schwachstelle ist Bédrune zufolge, dass Kaspersky als zufällige Komponente bei der Generierung von Passwörtern die Sekundenzahl der aktuellen Systemzeit verwendet. “Das bedeutet, dass jede Instanz des Kaspersky Password Manager zu einer bestimmten Uhrzeit weltweit genau dasselbe Kennwort erzeugt.”

Auch die Zahl der von KPM generierten unterschiedlichen Passwörter sei dadurch limitiert, und zwar auf ein Kennwort pro Sekunde. Für den Zeitraum von 2010 bis 2019 ergeben sich ihm zufolge somit 315.619.200 Passwörter. “Sie per Brute Force zu knacken dauert wenige Minuten.”

Besonders schwerwiegend sei dieses Problem bei Websites, die die Uhrzeit inklusive Sekunde anzeigen, zu der ein Benutzerkonto erstellt wurde. In dem Fall müssten bei einem Brute-Force-Angriff nur etwa 100 mögliche Passwörter verarbeitet werden.

Inzwischen hat Kaspersky die Schwachstellen in seinem Passwort-Manager beseitigt. Das Unternehmen wusste bereits seit Juni 2019 von den Problemen. Im April 2021 forderte Kaspersky in einer Sicherheitswarnung auf, bestimmte Passwörter erneut zu generieren. Betroffen sind die Versionen 9.0.2 Patch F und früher für Windows, 9.2.14.872 und früher für Android und 9.2.14.31 und früher für iOS.