Byt lösenord skapade av Kasperskys lösenords­hanterare

Lösenordshanterare har två stora fördelar. För det första gör de att vi slipper komma ihåg alla våra lösenord. För det andra kan de generera lösenord som är helt slumpmässiga och därmed starkare än lösenorden som våra mänskliga hjärnor hittar på. Tyvärr har lösenordshanteraren Kaspersky Password Manager brustit rejält på den sistnämnda punkten.

För att generera starka lösenord behöver en dator ha någon slumpmässigt genererad data att utgå från. Att få tag i tillräckligt slumpmässig data är en ständig utmaning inom kryptografin. Krypteringsprogrammet Veracrypt ber användaren flytta musmarkören på ett slumpmässigt vis. Cloudflare låter en kamera fotografera en vägg med lavalampor. Dessa metoder är dock onödigt komplicerade för att skapa slumpmässiga lösenord för vanliga användare. Genom att kombinera en mängd olika värden som finns inuti datorn går det att få ett för ändamålet tillräckligt slumpmässigt lösenord.

Problemen med Kaspersky Password Manager

Det största problemet med Kasperskys lösenordshanterare var att den inte använde någon sådan slumpmässig data. Säkerhetsforskare hos Donjon (forskningsavdelningen hos Ledger) upptäckte att lösenordshanteraren enbart använde klockslaget som ”slumpmässig” datakälla. Det innebär inte bara att de genererade lösenorden är lättare att knäcka. Det innebär dessutom att alla användare som genererade ett lösenord samma sekund delar lösenord (förutsatt att de använde samma inställningar).

The consequences are obviously bad: every password could be bruteforced. For example, there are 315619200 seconds between 2010 and 2021, so KPM could generate at most 315619200 passwords for a given charset. Bruteforcing them takes a few minutes.

Ledger Donjon

Ett annat misstag som Kaspersky gjorde var att skapa lösenord med teckenkombinationer som de vanliga lösenordsknäckarverktygen testar sent i processen. Det kan låta som en god idé, men om angriparen vet att lösenordet är genererat med Kaspersky Password Manager gör det lösenordet tvärtom lättare att knäcka. Lösenordet bör i stället vara långt och helt slumpmässigt genererat.

Byt gamla lösenord

Den 27:e april i år publicerade Kaspersky en rapport om problemet. Där framgår det att problemet är åtgärdat i följande versioner av appen.

  • Windows: 9.0.2 Patch F
  • IOS: 9.2.14.31
  • Android: 9.2.14.872

Vi rekommenderar alla användare att byta lösenorden som har genererats med äldre versioner av appen. Enligt samma rapport ska den nya appen uppmana användare att byta lösenord som kan vara för svaga.

Använd en lösenordshanterare

Incidenten påverkar inte vår rekommendation av lösenordshanterare. Vi fortsätter att rekommendera användning av sådana, framförallt Bitwarden som har öppen källkod, ett bug-bounty-program och flera genomförda tredjepartsgranskningar.  

Läs mer om bristerna i Kaspersky Password Manager hos Ledger och i denna Twitter-tråd av kryptologen Matthew Green.

Denna artikel är publicerad under CC BY 4.0-licens med undantag för bilder där en annan fotograf är angiven.