Vulnerabilidad en Kaspersky Password Manager


Vulnerabilidad en Kaspersky Password Supervisor

Una vulnerabilidad (recién parcheada) en el generador de números aleatorios utilizado en Kaspersky Password Manager resultó en fácilmente adivinable contraseñas:

El generador de contraseñas incluido en Kaspersky Password Supervisor tenía varios problemas. El más crítico es que utilizó un PRNG no apto para fines criptográficos. Su única fuente de entropía fue el tiempo genuine. Todas las contraseñas que creó podrían ser forzadas en segundos. Este artículo explica cómo generar contraseñas de forma segura, por qué falló Kaspersky Password Manager y cómo aprovechar esta falla. También proporciona una prueba de concepto para probar si su versión es vulnerable.

El producto se ha actualizado y sus versiones más recientes no se ven afectadas por este problema.

¿Error de programación estúpido o puerta trasera intencionada? No lo sabemos.

De manera más normal: generar números aleatorios es difícil. Recomiendo mi propio algoritmo: Fortuna. También recomiendo mi propio administrador de contraseñas: Password Secure.

Publicado el 6 de julio de 2021 a las 9:27 a.m. •
4 comentarios

Foto de la barra lateral de Bruce Schneier por Joe MacInnis.



Enlace a la noticia original