Kaspersky Password Manager: attenzione! La creazione di password casuali ha avuto un problema per anni

Emerge un problema di sicurezza piuttosto importante per il password generator di Kaspersky: lo strumento ha utilizzato l'ora corrente come base per la generazione di una password casuale, rendendo quindi le password create con questo metodo facilmente prone ad attacchi di tipo brute force. Lo strumento ha funzionato in questo modo fino al 2019, quando è stato rilasciato un aggiornamento che ha risolto il problema.

Gli strumenti per la generazione di password non sono sempre del tutto casuali, poiché è concreta la possibilità di generare password deboli in sequenze completamente casuali. Per ovviare al problema i generatori di password sono solitamente dotati di sistemi che supportano lo sviluppo di password complesse, integrando i cosiddetti Pseudo-Random Number Generator che hanno il compito di generare un numero pseudo-casuale (cioè partendo da un altro elemento variabile) il quale a sua volta viene usato per creare la password.

Utilizzare però l'ora corrente come elemento variabile non è una buona idea, almeno in linea di principio, in quanto esiste la possibilità che in un dato momento più password generate da utenti diversi risultino assolutamente identiche se lo strumento viene utilizzato esattamente nello stesso istante.

Ma il problema non si limita a ciò: il ricercatore di sicurezza Jean-Baptiste Bédrune di Ledger Donjon, che ha scovato il problema, sottolinea un altro aspetto. "Ci sono 315619200 secondi tra il 2010 ed il 2021, quindi Kaspersky Password Manager potrebbe generare al massimo quel numero di password per un determinato set di caratteri. Il bruteforcing, in questo caso, richiederebbe pochi minuti".

Ad essere interessate sono le versioni di Kaspersky Password Manager precedenti alla 9.0.2 Patch F su Windows, alla 9.2.14.872 su Android e 9.2.14.31 su iOS. La vulnetabilità è stata resa nota a Kaspersky nel mese di giugno 2019 e la società ha rilasciato una correzione con un nuovo meccanismo di formulazione della password nel mese di ottobre dello stesso anno.

Chi fa uso di Kaspersky Password Manager e ha attivi i sistemi di aggiornamento automatico dovrebbe ora essere protetto dal problema, ma è ovviamente consigliabile andare a modificare le password generate precedentemente alla correzione del problema. Scontato, invece, il consiglio di aggiornare lo strumento qualora si riscontrasse una versione ancor affetta dal problema.

La società ha inoltre diffuso una nota ufficiale:

"Kaspersky ha risolto un problema di sicurezza in Kaspersky Password Manager, che potenzialmente consentiva a un utente malintenzionato di scoprire le password generate dallo strumento. Questo problema era possibile solo nell'improbabile eventualità che l'aggressore conoscesse le informazioni sull'account dell'utente e l'ora esatta in cui era stato generato. Richiederebbe inoltre che il target riduca le impostazioni di complessità della password. La società ha emesso una correzione al prodotto e ha integrato un meccanismo che informa gli utenti se una password specifica generata dallo strumento potrebbe essere vulnerabile e deve essere modificata.Consigliamo ai nostri utenti di installare gli ultimi aggiornamenti. Per semplificare il processo di ricezione degli aggiornamenti, i nostri prodotti per la casa supportano gli aggiornamenti automatici".