En marzo de 2019, la empresa de seguridad Kaspersky Lab ha lanzado una actualización de su software de administración de contraseñas (Kaspersky Password Manager, o KPM) que promete identificar contraseñas débiles y generar reemplazos sólidos.
Unos meses después, el equipo de seguridad de Torre principal descubrió que KPM no gestionaba muy bien ninguna de las tareas. Más precisamente, el software utilizó un generador de números pseudoaleatorios (PRNG), que, en realidad, no era lo suficientemente aleatorio para crear contraseñas seguras.
Desde entonces, KPM ha sugerido contraseñas que pueden ser fácilmente descifradas por software malintencionado, sin señalar contraseñas débiles a sus clientes. Debido a esto, Donjon decidió revelar qué problemas afectan a esta generación de contraseñas.
O [problema] más crítico es que utilizó un PRNG no apto para fines criptográficos. Su única fuente de entropía era el tiempo actual. Todas las contraseñas que creó podrían ser dirigidas por [ataque] fuerza bruta en segundos.
El uso de la hora actual del sistema como una semilla aleatoria, según los investigadores de seguridad, significa que KPM generará contraseñas idénticas en cualquier momento en cualquier lugar del mundo.
Las consecuencias son obviamente malas: todas las contraseñas pueden estar sujetas a [ataque de] fuerza bruta. Por ejemplo, hay 315,619,200 segundos entre 2010 y 2021, por lo que KPM puede generar un máximo de 315,619,200 contraseñas para un conjunto de caracteres determinado. [O ataque de] la fuerza bruta solo toma unos minutos para descubrirlo.
También de acuerdo con la información, si se conoce el tiempo para crear una cuenta (algo que se muestra comúnmente en los foros en línea), el tiempo requerido para que los ataques de fuerza bruta descifren la contraseña se puede reducir a solo unos segundos.
Todas las versiones de KPM (para iOS, Android y Windows) se ven afectadas. Kaspersky reconoció los problemas y dijo que ahora aplica una nueva lógica en la generación de contraseñas; sin embargo, se recomienda cambiar las contraseñas generadas por el software antes de octubre de 2019 y que aún no se han modificado.
El informe completo con fallas conocidas está disponible en esta página.
Actualizar por Eduardo Marques07/08/2021 a las 3:00 pm
En contacto con el Aatma, Kaspersky dio la siguiente declaración:
Kaspersky ha solucionado el problema de seguridad en Kaspersky Password Manager, lo que podría permitir a un atacante descubrir las contraseñas generadas por la herramienta. Esto solo sucedería en el improbable caso de que el atacante conociera la información de la cuenta del usuario y la hora exacta en que se generó una contraseña. También requería que el objetivo redujera la configuración de complejidad de la contraseña.
La compañía emitió un parche e incorporó un mecanismo para notificar a los usuarios si una contraseña específica generada por la herramienta podría ser vulnerable, solicitando así su cambio. Recomendamos que nuestros clientes instalen las últimas actualizaciones. Para facilitar el proceso de recibir actualizaciones, nuestros productos ofrecen actualizaciones automáticas.