2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。
安全研究人員表明,卡巴斯基在 2019 年更新之前使用當(dāng)前時(shí)間生成密碼,這導(dǎo)致密碼容易破解。
密碼生成器并不總是完全隨機(jī)的,因?yàn)樵谕耆S機(jī)的序列中存在弱密碼的可能性。然而,卡巴斯基并沒(méi)有使用多層邏輯來(lái)開(kāi)發(fā)強(qiáng)密碼,而是僅使用當(dāng)前時(shí)間來(lái)確定生成的密碼。
ZDNet 分享了 Ledger Donjon 進(jìn)行的研究,解釋了使用這種邏輯生成密碼背后的問(wèn)題。根據(jù)研究,這意味著世界上的每個(gè)卡巴斯基實(shí)例都會(huì)在給定的時(shí)間內(nèi)生成相同的密碼。
Ledger Donjon 的首席安全研究員說(shuō):“如果攻擊者知道一個(gè)人使用 KPM,他將能夠比完全隨機(jī)的密碼更容易破解他的密碼。” “然而,我們的建議是,生成足夠長(zhǎng)的隨機(jī)密碼,使其強(qiáng)度過(guò)大而無(wú)法被工具破解。”
因此,試圖破解用戶帳戶的人只需要知道帳戶的創(chuàng)建時(shí)間以及是否使用了卡巴斯基密碼管理器。創(chuàng)建的每個(gè)密碼都很容易被暴力破解。
“例如,2010 年和 2021 年之間有 315619200 秒,因此 KPM 最多可以為給定的字符集生成 315619200 個(gè)密碼,”研究人員繼續(xù)說(shuō)道。“暴力破解它們需要幾分鐘。”
Windows 上 9.0.2 Patch F 之前的 KPM 版本、Android 上的 9.2.14.872 或 iOS 上的 9.2.14.31 都受到影響。
卡巴斯基于 2019 年 6 月獲悉該漏洞,并于同年 10 月發(fā)布了使用新密碼邏輯的修復(fù)程序。建議擁有較新版本的用戶更新潛在的弱密碼,但在 2019 年 10 月之前創(chuàng)建的任何密碼都可能存在風(fēng)險(xiǎn)。
2016-2022 All Rights Reserved.平安財(cái)經(jīng)網(wǎng).復(fù)制必究 聯(lián)系QQ280 715 8082 備案號(hào):閩ICP備19027007號(hào)-6
本站除標(biāo)明“本站原創(chuàng)”外所有信息均轉(zhuǎn)載自互聯(lián)網(wǎng) 版權(quán)歸原作者所有。