Kaspersky Password Manager sugirió contraseñas débiles a los usuarios durante meses

El Administrador de contraseñas de Kaspersky tuvo una falla en su técnica de generación de contraseñas, lo que llevó al servicio a sugerir contraseñas débiles para los usuarios durante meses.

Después de que se encontró la falla, Kaspersky informó a los usuarios que actualizaran sus contraseñas débiles y lanzó un parche para solucionar el problema. El problema se refería a una versión anterior de todos los clientes de KPM, que ahora están actualizados.

Índice de contenidos

    Fallo en Kaspersky Password Manager

    Kaspersky, una empresa de ciberseguridad que ofrece una gama de productos, desde software antivirus hasta monitoreo de amenazas, tiene uno de sus productos: el administrador de contraseñas con errores graves de diseño.

    Al revelar después de dos años, Kaspersky admitió tener el generador de contraseñas más débil en su Herramienta Kaspersky Password Manager (KPM).

    Esto fue visto por una consultora de seguridad llamada Donjon, quien dijo que KPM había utilizado un generador de números pseudoaleatorios (PRNG) para sugerir contraseñas seguras a sus usuarios de KPM.

    La Técnica PRNG fue insuficiente para crear contraseñas seguras aleatorias y no es adecuado para usos criptográficos. Y lo que es más importante, se basa en la creación de contraseñas utilizando una única fuente de entropía: la hora actual del dispositivo.

    Esto lo hace vulnerable como si el atacante lograra averiguar la hora actual de creación de la contraseña, ¡podría ser forzado en segundos!

    Por ejemplo, como explicó el equipo de Donjon, "hay 315619200 segundos entre 2010 y 2021, por lo que KPM podría generar como máximo 315619200 contraseñas para un juego de caracteres determinado.”Por lo tanto, forzarlos toma unos minutos.

    Kaspersky se dio cuenta de la amenaza y emitió un parche al cliente de Windows antes, pero aún tenía fallas. Más tarde, implementó parches reales en la web, Windows, Android e iOS entre octubre y diciembre de 2019 ".

    Estos notificarían a los usuarios sobre las contraseñas débiles que tienen y pueden actualizarlas a las seguras. El problema se rastreó con CVE-2020-27020 ID y aconsejó a los usuarios que actualicen sus clientes para una mayor seguridad.

    Relacionados

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir