Multimedia
Passwort-Manager schlägt leicht zu knackende Codes vor
Über eine längere Zeit hinweg generierte der Passwort-Manager von Kaspersky für seine Nutzerinnen und Nutzer Passwörter, die leicht zu erraten waren.
Von einem Passwort-Manager, der einem Passwörter vorschlägt, erwartet man vor allem eines: Dass die Passwörter sicher sind. Wie sich nun zeigt, ist dies aber nicht immer der Fall. Denn Sicherheitsexpertinnen und Sicherheitsexperten von Donjon haben festgestellt, dass die Passwörter, die vom Passwort-Manager Kaspersky vorgeschlagen wurden, einfach zu erraten waren – und dies über Monate hinweg.
Eigentlich hätte natürlich genau das Gegenteil der Fall sein sollen. Denn im März 2019 rollte Kaspersky ein Update für seinen Service aus, mit welchem schwache Passwörter erkannt und durch starke ersetzt werden sollten. Tatsächlich soll dies aber nicht wie vorgesehen funktioniert haben, wie es in einem Blogbeitrag der Sicherheitsforschenden heißt.
Leicht zu erraten
Wenn ein Passwort-Manager ein neues Passwort vorschlägt, geschieht dies meist mit der Hilfe eines Pseudozufallszahlengenerators. Dies soll sicherstellen, dass das Passwort nichts mit der Person, die es verwendet, zu tun hat und dass es schwierig zu knacken ist. Im Fall von Kaspersky lief dieser Prozess laut den Expertinnen und Experten jedoch nicht verlässlich ab und die Zahlen, die generiert wurden, waren nicht zufällig genug.
Grund dafür sei, dass bei Kaspersky zum Erstellen der Passwörter leicht zu erratende Informationen wie beispielsweise die momentane Uhrzeit in Sekunden verwendet wurden. Daher haben beispielsweise Nutzerinnen und Nutzer, die sich zur gleichen Zeit ein Passwort generieren ließen, dasselbe – scheinbar zufällige – Passwort erhalten. Darüber hinaus führte dies dazu, dass es viel zu wenige mögliche Passwörter gab. Hackerinnen und Hacker konnten die so generierten Kennworte innerhalb von Sekunden umgehen.
Wie itmagazine.ch berichtet, war Kaspersky seit Juni 2019 über das Problem im Bilde. Man habe damals auch ein Update lanciert, welches stärkere Passwörter erstellen konnte, die bereits generierten schwächeren Passwörter wurden damals jedoch nicht ersetzt. Dies geschah erst im Oktober 2020. Daher wird Nutzerinnen und Nutzern, die den Passwort-Manager von Kaspersky benutzen, geraten, auf die Windows-Version 9.0.2 Patch F, die Android-Version 9.2.14.872 oder die iOS-Version 9.2.14.31 upzudaten.