Kaspersky’nin bir şifre jeneratörü var mı?

Oluşturulan şifre küçük harfe dönüştürülür. Leter olmayanlar kaldırıldı. Sonra bir yineleme var şifre Yeni oluşturulan küçük şifre yerine. Bu, dizin değişkeninin yanlış hesaplanmasına yol açar (alfabede bir harfin konumu). Bu dizin, bir dizinin bir öğesini almak için kullanılır. Bu, bu dizinin sınır dışı bir şekilde okunmasına yol açar.

Kaspersky Parola Yöneticisi: Tüm şifreleriniz bize aittir

Kaspersky şifre yöneticisine dahil olan şifre jeneratörünün birkaç sorunu vardı. En kritik olanı, kriptografik amaçlar için uygun olmayan bir PRNG kullanmasıdır. Tek entropi kaynağı şu anki zamandı. Oluşturduğu tüm şifreler saniyeler içinde kaba olabilir. Bu makale şifre nasıl güvenli bir şekilde oluşturulacağını, Kaspersky şifre yöneticisinin neden başarısız olduğunu ve bu kusurdan nasıl yararlanılacağını açıklıyor. Ayrıca, sürümünüzün savunmasız olup olmadığını test etmek için bir kavram kanıtı sağlar.

Ürün güncellendi ve en yeni sürümleri’Bu konudan etkilenen.

giriiş

İki yıl önce Kaspersky tarafından geliştirilen bir şifre yöneticisi olan Kaspersky şifre yöneticisine (KPM) baktık. Kaspersky Parola Yöneticisi, şifreleri ve belgeleri bir şifre ile korunan şifreli bir kasada güvenli bir şekilde depolayan bir üründür. Bu tonoz ana şifre ile korunur, bu nedenle diğer şifre yöneticilerinde olduğu gibi, kullanıcılar tüm şifrelerini kullanmak ve yönetmek için tek bir şifre hatırlamak zorundadır. Ürün, çeşitli işletim sistemleri (Windows, MacOS, Android, iOS, Web…) için kullanılabilir. Şifreli veriler, her zaman ana şifreniz tarafından korunan tüm cihazlarınız arasında otomatik olarak senkronize edilebilir.

KPM’nin temel işlevselliği şifre yönetimidir. Şifre yöneticilerinden oluşan önemli bir nokta, insanların aksine, bu araçların rastgele, güçlü şifreler üretmek için iyi olmasıdır. Güvenli şifreler oluşturmak için Kaspersky şifre yöneticisi güvenli bir şifre oluşturma mekanizmasına güvenmelidir. Kaspersky tarafından kullanılan yöntemin neden kusurlu olduğunu ve onu nasıl kullandığımızı açıklamak için iyi bir şifre oluşturma yöntemi örneği göreceğiz. Göreceğimiz gibi, bu araç tarafından oluşturulan şifreler saniyeler içinde kabarık olabilir.

İki yıldan biraz daha az bir süre sonra, bu güvenlik açığı KPM’nin tüm versiyonlarında yamalandı. Güvenlik açığı atandı CVE-2020-27020.

Bir kargaşadan sağlam şifreler oluşturmak

Basitlik uğruna’s Keepass’ta şifrelerin nasıl oluşturulduğunu inceleyin, açık kaynaklı bir proje. Şifre Üretimi, Keepasslib’deki çeşitli sınıflarda uygulanır.Kriptografi.PasswordGenerator ad alanı. Keepass, bir şifre oluşturmak için 3 yöntem sağlar: karakter tabanlı, desen tabanlı ve özel bir üretim yöntemi.

Daha basit yöntem, belirli bir karakterden bir şifre oluşturan karakter-baz jeneratörüdür. Nasıl çalıştığını görelim. İşte şifre üretiminden sorumlu ana döngü:

PWCharset PCS = Yeni PWCharset (Pwprofile.Kireç seti.ToString ());
eğer(!Pwgenerator.PrepareCharsset (PCS, PWProfile))
Pwgerror Dön.Invalidcharset;
char [] v = yeni char [pwprofile.Uzunluk];
denemek
{
için (int i = 0; i < v.Length; ++i)
{
char ch = PwGenerator.GenerateCharacter(pcs, crsRandomSource);
if(ch == char.MinValue)
return PwgError.TooFewCharacters;
v[i] = ch;
if(pwProfile.NoRepeatingCharacters)
pcs.Remove(ch);
}
}

Paroladan her bir karakteri oluşturmak için Generatecharacter yöntemi çağrılır. Bir charset ve rastgele bir kaynak alır ve cazibeden rastgele bir karakter çıkarır. Uygulaması oldukça basittir:

Dahili Statik Char Generatecharacter (Pwcharset Pwcharset, Cryptorandomstream CrsRandomSource)
{
uint cc = pwcharset.Boyut;
if (cc == 0)
Dönüş Char.Minvalue;
uint i = (uint) crsrandomsource.GetRandomuint64 (CC);
pwcharset [i] döndür;
}

1. Kaspersky şifre yöneticisinin şifre üreticisi nasıl başarısız oldu?

Kaspersky şifre yöneticisindeki şifre jeneratörü, kriptografik amaçlar için uygun olmayan bir PRNG (sahte rastgele numara jeneratörü) kullandığı için başarısız oldu. Entropi kaynağı olarak yalnızca mevcut zamana güvenerek, oluşturulan şifreleri zorlamayı kolaylaştırır.

2. Güvenli şifreler oluşturmak neden önemlidir??

Güvenli şifreler oluşturmak önemlidir, çünkü zayıf şifreler kolayca tahmin edilebilir ve saldırganlar tarafından tehlikeye atılabilir. Güçlü, rastgele şifreler, çevrimiçi hesaplar için daha iyi güvenlik sağlar ve hassas bilgileri yetkisiz erişimden korumaya yardımcı olur.

3. Kaspersky Parola Yöneticisi'nde Kusurlu Parola Üretim Yöntemi Nasıl Yapıldı??

Kaspersky şifre yöneticisindeki kusurlu şifre üretim yöntemi, uygun entropi eksikliği nedeniyle oluşturulan şifrelerin kolay kaba çalışmasına izin verdi. Yalnızca şu anki zamana dayanan bir PRNG kullanarak, şifreleri doğru bir şekilde tahmin etmek ve tahmin etmek, onları saldırıya karşı savunmasız hale getirmek mümkün oldu.

4. Kaspersky şifre yöneticisinde güvenlik açığına atanan CVE numarası nedir?

Kaspersky Parola Yöneticisi'ndeki güvenlik açığı CVE-20120-27020 Numarası atandı.

5. Keepass'ta şifreler nasıl oluşturulur?

Şarjlı bir jeneratör dahil olmak üzere çeşitli yöntemler kullanılarak şifreler Keepass'ta oluşturulur. Bu yöntem, oluşturulan parolaların belirtilen kümeden bir karakter karışımını içermesini sağlayarak belirli bir kireç setine dayalı şifreler oluşturur.

6. Keepass'taki pwcharset sınıfının amacı nedir?

Keepass'taki Pwcharset sınıfı, şifre üretiminde kullanılabilecek karakter kümelerini tanımlamak ve yönetmek için kullanılır. Oluşturulan şifrelere dahil edilen karakterler üzerinde özelleştirme ve kontrol sağlar.

7. Generatecharacter yöntemi Keepass'ta nasıl çalışır??

Keepass'taki Generatecharacter yöntemi, giriş parametreleri olarak bir karakter ve rastgele bir kaynak alır ve belirtilen charsset'ten rastgele bir karakter döndürür. Oluşturulan karakterin sağlanan karakter kümesinden rastgele seçilmesini sağlar.

8. Korumada karakter seti boşsa ne olur?

Karakter seti Keepass'ta boşsa, Generatecharacter yöntemi Değer Koruma Döndürür.Minvalue. Bu, belirtilen karakter setinde hiçbir karakter olmadığını gösterir ve şifre oluşturma işleminde bir hataya neden olabilir.

9. Kaspersky Parola Yöneticisi'ndeki şifre jeneratörü Letter olmayan karakterleri nasıl işledi??

Kaspersky parola yöneticisindeki şifre jeneratörü, oluşturulan parolayı küçük harfe dönüştürdü ve harf olmayan karakterleri kaldırdı. Bu süreç, jeneratör tarafından kullanılan kusurlu metodolojinin bir parçasıydı ve sonuçta şifrelerin kolay kaba güçlendirilmesine izin veren güvenlik açığına yol açtı.

10. Kaspersky şifre yöneticisinde güvenlik açığı yamalı mı?

Evet, Kaspersky şifre yöneticisindeki güvenlik açığı tüm sürümlerde yamalı. Ürünün en son sürümleri bu konudan etkilenmiyor.

Kaspersky'nin bir şifre jeneratörü var mı?

Oluşturulan şifre küçük harfe dönüştürülür. Leter olmayanlar kaldırıldı. Sonra bir yineleme var şifre Yeni oluşturulan küçük şifre yerine. Bu, dizin değişkeninin yanlış hesaplanmasına yol açar (alfabede bir harfin konumu). Bu dizin, bir dizinin bir öğesini almak için kullanılır. Bu, bu dizinin sınır dışı bir şekilde okunmasına yol açar.

Kaspersky Parola Yöneticisi: Tüm şifreleriniz bize aittir

Kaspersky şifre yöneticisine dahil olan şifre jeneratörünün birkaç sorunu vardı. En kritik olanı, kriptografik amaçlar için uygun olmayan bir PRNG kullanmasıdır. Tek entropi kaynağı şu anki zamandı. Oluşturduğu tüm şifreler saniyeler içinde kaba olabilir. Bu makale şifre nasıl güvenli bir şekilde oluşturulacağını, Kaspersky şifre yöneticisinin neden başarısız olduğunu ve bu kusurdan nasıl yararlanılacağını açıklıyor. Ayrıca, sürümünüzün savunmasız olup olmadığını test etmek için bir kavram kanıtı sağlar.

Ürün güncellendi ve en yeni sürümleri’Bu konudan etkilenen.

giriiş

İki yıl önce Kaspersky tarafından geliştirilen bir şifre yöneticisi olan Kaspersky şifre yöneticisine (KPM) baktık. Kaspersky Parola Yöneticisi, şifreleri ve belgeleri bir şifre ile korunan şifreli bir kasada güvenli bir şekilde depolayan bir üründür. Bu tonoz ana şifre ile korunur, bu nedenle diğer şifre yöneticilerinde olduğu gibi, kullanıcılar tüm şifrelerini kullanmak ve yönetmek için tek bir şifre hatırlamak zorundadır. Ürün, çeşitli işletim sistemleri (Windows, MacOS, Android, iOS, Web…) için kullanılabilir. Şifreli veriler, her zaman ana şifreniz tarafından korunan tüm cihazlarınız arasında otomatik olarak senkronize edilebilir.

KPM'nin temel işlevselliği şifre yönetimidir. Şifre yöneticilerinden oluşan önemli bir nokta, insanların aksine, bu araçların rastgele, güçlü şifreler üretmek için iyi olmasıdır. Güvenli şifreler oluşturmak için Kaspersky şifre yöneticisi güvenli bir şifre oluşturma mekanizmasına güvenmelidir. Kaspersky tarafından kullanılan yöntemin neden kusurlu olduğunu ve onu nasıl kullandığımızı açıklamak için iyi bir şifre oluşturma yöntemi örneği göreceğiz. Göreceğimiz gibi, bu araç tarafından oluşturulan şifreler saniyeler içinde kabarık olabilir.

İki yıldan biraz daha az bir süre sonra, bu güvenlik açığı KPM'nin tüm versiyonlarında yamalandı. Güvenlik açığı atandı CVE-2020-27020.

Bir kargaşadan sağlam şifreler oluşturmak

Basitlik uğruna’s Keepass'ta şifrelerin nasıl oluşturulduğunu inceleyin, açık kaynaklı bir proje. Şifre Üretimi, Keepasslib'deki çeşitli sınıflarda uygulanır.Kriptografi.PasswordGenerator ad alanı. Keepass, bir şifre oluşturmak için 3 yöntem sağlar: karakter tabanlı, desen tabanlı ve özel bir üretim yöntemi.

Daha basit yöntem, belirli bir karakterden bir şifre oluşturan karakter-baz jeneratörüdür. Nasıl çalıştığını görelim. İşte şifre üretiminden sorumlu ana döngü:

Pwcharset PC'ler = yeni Pwcharset(pwprofile.Kireç seti.Tostring()); eğer(!Pwgenerator.Hazırlık takımı(PC'ler, pwprofile)) geri dönmek Pwgerror.Geçersiz Şarj Seti; kargaşa[] v = yeni kargaşa[pwprofile.Uzunluk]; denemek  için(int Ben = 0; Ben  v.Uzunluk; ++Ben)  kargaşa ch = Pwgenerator.Generatecharacter(PC'ler, crsrandomsource); eğer(ch == kargaşa.Minvalue) geri dönmek Pwgerror.Toofewaracters; v[Ben] = ch; eğer(pwprofile.Norepeatingcharacters) PC'ler.Kaldırmak(ch); > . > 

Paroladan her bir karakteri oluşturmak için Generatecharacter yöntemi çağrılır. Bir charset ve rastgele bir kaynak alır ve cazibeden rastgele bir karakter çıkarır. Uygulaması oldukça basittir:

dahili statik kargaşa Generatecharacter(Pwcharset pwcharset, Kriptorandomstream crsrandomsource)  uint CC = pwcharset.Boyut; eğer(CC == 0) geri dönmek kargaşa.Minvalue; uint Ben = (uint)crsrandomsource.GetRandomuint64(CC); geri dönmek pwcharset[Ben]; > 

Son olarak, GetRandomuint64, 0 ve CC - 1 arasında değerleri çıkaran tek tip bir rastgele sayı üretecidir:

dahili laong GetRandomuint64(laong Umaxexcl)  eğer(Umaxexcl == 0)  Ayıklamak.İddia etmek(YANLIŞ); fırlatmak yeni ArgümanoutofRangeException("Umaxexcl"); > laong Ugen, ürem; Yapmak  Ugen = GetRandomuint64(); ürem = Ugen % Umaxexcl; > sırasında((Ugen - ürem) > (laong.Maksimum değer - (Umaxexcl - 1UL))); // Bu, bloğun son sayısını sağlar (i.e. // (ugen - urem) + (Umaxexcl - 1)) üretilebilir; // İmzalı Longs için negatif sayıya taşıyor: // while ((ugen - urem) + (Umaxexcl - 1) < 0);geri dönmek ürem; > 

Burada önemli olan, her karakterin üretilmesidir diğerlerinden bağımsız olarak: Her karakter rastgele ve daha önce hangi karakterin oluşturulduğunu bilmek bize oluşturulacak bir sonraki karakter hakkında bilgi vermiyor.

Sonunda izin ver’S GetRandomuint64'ün kriptografik olarak güçlü olduğunu ve rastgele bir 64 bit sayı ürettiğini varsayalım. Neden burada bir döngü var ve bu işlev neden sadece dönüş getRandomuint64 () % umaxexcl olarak uygulanmıyor; ?

Tek tip rastgele sayı üretimi

Bu döngü için gerekli tek tip Bir aralıkta numara oluşturun.

10 olası chars'tan oluşan bir karakterden rastgele bir karakter almak istediğinizi ve 0 ila 32 arasında sayı çıkaran rastgele bir sayı jeneratör yönteminiz var (32 hariç). Bu tür bir karakter çıkışının basit bir yolu:

const sicim kireç seti = "0123456789"; geri dönmek kireç seti[GetRandom32() % 10]; 

İzin vermek’Karakterlerin nasıl oluşturulduğunu görün:

• “4” GetRandom32 () 4, 14 veya 24 döndürürse döndürülür (3 olası değer)
• “5” GetRandom32 () 5, 15 veya 25'i döndürürse döndürülür (3 olası değer)
• Ancak “1” GetRandom32 () 1, 11, 21 ve 31 döndürürse döndürülür (4 Olası Değer!)

Dağıtım aşağıda verilmiştir:

Yani bu yöntemle bir önyargı var: çıktılardan görülebileceği gibi, 0 ve 1 rakamları diğerlerinden daha sık çıktı. Genellikle buna denir “modulo yanlılığı”. Mükemmel kesin kılavuzu kontrol etmelisiniz “modüler önyargı” ve daha fazla bilgi için Kudelski Güvenliği tarafından bundan nasıl kaçınılır.

Bunu kaldırmak için “modulo yanlılığı”, Yaygın bir yöntem, 30'dan büyük veya eşit tüm sayıları (32'den düşük 10'un en büyük katı) atmaktır:

const sicim kireç seti = "0123456789"; Yapmak  Ugen = GetRandom32(); > sırasında (Ugen > = 30); geri dönmek kireç seti[Ugen % 10]; 

Keepass'ın yaptığı tam olarak budur, ancak Keepass'taki önyargı mevcut örnekten çok daha az önemli olacaktır, çünkü getRandomuint64, şifre karakter setinin boyutundan çok daha büyük değerler üretir.

Rastgele kaynağımızın tek tip olduğunu varsayarak, belirli bir karakter yelpazesinden bir karakterden nasıl eşit olarak seçileceğini gördük. İzin vermek’S Şimdi görünün, kriptografik olarak güçlü rastgele sayılar oluşturmak için ne tür bir kaynak uygundur?.

Kriptografik olarak güvenli prng

Oluşturulan sayılar olmalı rastgele. Ama bu tam olarak ne anlama geliyor? Sıradan iyi bir PRNG, esas olarak diehard veya dieharder testleri gibi istatistiksel rastgelelik testleri olmak üzere bir dizi testi geçecektir.

Kriptografik olarak güvenli bir PRNG (CSPRNG) de bu testleri geçecektir, ancak aynı zamanda iki gereksinim daha vardır:

• Next-bit testi tatmin etmeli. Bir CSPRNG tarafından zaten oluşturulan tüm bitleri bilerek, bir sonraki biti tahmin edecek polinom-zaman yöntemi yok 0.5.
• Herhangi bir an, CSPRNG'nin tüm durumu tehlikeye atılırsa, daha önce CSPRNG tarafından iade edilen bitleri almanın bir yolu yoktur.

Bu noktalar şifre üretimi için gereklidir. Örneğin, bir nedenden dolayı bir şifre tehlikeye atılmışsa ve bu şifreyi oluşturmak için bir CSPRNG olmayan kullanılmışsa, bir saldırgan bu PRNG kullanılarak oluşturulan diğer şifreyi alabilir. Çoğu işletim sistemi CSPRNG uygulamaları sağlar: Windows'ta CryptGenRandom veya Unix benzeri işletim sistemlerinde /dev /rastgele.

Bazı yazılımlar, işletim sistemi PRNG tarafından genellikle tamamen veya kısmen tohumlanmış kendi uygulamalarını kullanmayı tercih ediyor. Keepass, Salsa20 ve Chacha20'ye dayalı iki PRNG ve ArcFour'un bir varyantına dayanan eski bir PRNG kullanır. İzin vermek’S İlk iki Prng'nin kriptografik olarak güvenli olduğunu varsayalım: Belirli bir karakterden rastgele, güvenli şifreler oluşturmak için şimdi tüm unsurlara sahibiz.

Kaspersky’S Parola Üretim Yöntemi

Kaspersky şifre yöneticisi, belirli bir parola oluşturan yerleşik bir şifre jeneratörü var “politika”. Politika ayarları basit: şifre uzunluğu, büyük harfler, küçük harfler, rakamlar ve özel bir özel karakter seti. Tüm bu ayarlar, burada gösterildiği gibi şifre oluşturucu arayüzünde yapılandırılabilir (bu standart ayardır):

Varsayılan olarak, KPM, genişletilmiş bir kireç setiyle 12 karakterlik şifreler üretir.

Görünüş sıklığını kandırmak

Üretim prosedürü Keepass yönteminden çok daha karmaşıktır. KPM ilk olarak 0 ila 1 arasında $ r_1 $ ve $ r_2 $ iki rastgele şamandıra seçer ve bunları kiralama tablosunda bir değer seçmek için şifre kiralama uzunluğu ile çarpar:

kireç seti = . # Karakter Kullanılacak Set R1 = rastgele.rastgele() R2 = rastgele.rastgele() pos = R1 * R2 * len(kireç seti) geri dönmek kireç seti[pos] 

$ R_1 \ times r_2 $ 'nın dağılımı (Mathworld sayesinde):

\ [\ begin p [r_1 r_2 = a] & = & \ int_0^1 \ int_0^1 \ delta (xy - a) dy dx \\ & = & \ int_0^1 \ int_ \ Delta (z) \ frac dz dx \\ & = \ int_0^1 1 (x \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ \ dy Son \]

Bu fonksiyonun dağılımı düzgün değildir: daha düşük pozisyonların 1'den yakın değerlerden daha fazla şansı vardır. Böyle bir yöntem oldukça şaşırtıcıdır, ancak KPM'nin tam olarak uygulamak istediği gibi görünüyor.

Kireç setini nasıl oluşturulur? Tamamen sipariş edildi mi? “Abcdefghij…”? HAYIR…

• İlk üç Chars için, charset tamamen sipariş edilir (neredeyse… bunu daha sonra göreceğiz).
• Ardından, bir sonraki karakterler için, KPM harf frekansına dayanır: en az sık harflerin (bazı dilde) oluşturulan şifrede daha sık görünmesi gerektiğini varsayar. KPM'de kullanıldığı gibi her harfin görünen görünüm sıklığı aşağıdaki grafikte gösterilmiştir:

Ardından, her harfin ters görünüm frekansına göre charset sipariş edilir: q, x, z, w… n, a, e.

Dağıtım fonksiyonu göz önüne alındığında daha düşük değerlerin görünmesi daha olası olduğundan, bazı karakterleri varsayabiliriz “Q” Ve “X” KPM tarafından oluşturulan şifrelerde görünme olasılığı daha yüksektir.

Bu istatistikler bir şifrenin her karakterini oluşturmak için bağımsız olarak alınmışsa, “Q”, “X” veya “zıpla” Şifrelerde. Bununla birlikte, işler daha karmaşıktır: görünüş frekanslarının hesaplanmasında üretilen karakterler dikkate alınır. Eğer bir “zıpla” üretilir, o zaman görünüş olasılığı “zıpla” Frekans tablosunda güçlü bir şekilde artacaktır. Bu tabloya göre charset sipariş edildikten sonra, “zıpla” masanın sonunda olacak ve alınacak çok daha az değişiklik olacak.

Bu değişiklikler ayrıca diğer harfleri de etkiler: sonra “zıpla” seçildi, olasılığı “A”, “e”, “M”, “Q”, “S” Ve “X” Ayrıca arttı. Aksine, “H” azaldı. Ama sonra “H” seçiliyor, görünüş olasılığı çok artacak.

Hipotezimiz, standart şifre kırma araçlarını kandırmak için yöntemin uygulandığıdır. Hashcat veya John the Ripper gibi şifre krakerleri önce kırmaya çalışır olası şifre, e.G. İnsanlar tarafından oluşturulan şifreler. Şifre çatlama yöntemleri, muhtemelen “e” Ve “A” Bir insan tarafından oluşturulan bir şifrede “X” veya “J”, ya da bigramlar “th” Ve “O” çok daha sık görünecek “qx” veya “ZR”.

Şifrelerin insanlar tarafından oluşturulma biçiminde gizli bir Markov modeli olduğunu varsayan Markov Generator gibi özel teknikler, bu nesil yöntemini doğrudan kırabilir (daha fazla ayrıntı için zaman-alan dengesizliği kullanarak hızlı sözlük saldırılarına bakın).

Bu nedenle, KPM tarafından üretilen şifreler ortalama olarak, bu araçlar tarafından test edilen aday şifreler listesinde olacaktır. Bir saldırgan KPM tarafından oluşturulan şifrelerin bir listesini kırmaya çalışırsa, birincisi bulunana kadar muhtemelen uzun süre bekleyecektir. Bu oldukça zeki.

Ancak, bir saldırgan ise bilir KPM tarafından bir şifre oluşturulduğunu, modeli dikkate almak için aracını uyarlayabilir ve ardından KPM. Bu şifreler, belirli bir anlamda önyargılı (şifre krakerlerini ele almak için), bu önyargı, bu araç tarafından oluşturulan en olası şifreleri oluşturmak ve önce bunları test etmek için kullanılabilir. Bunu yapmanın basit bir yolu, John the Ripper tarafından sağlanan bir Markov jeneratörü kullanmak olabilir (bu yöntem test edilmemiştir).

Üretim algoritmasının kendi içinde o kadar da kötü olmadığı sonucuna varabiliriz: standart araçlara karşı direnecek. Ancak, bir saldırgan bir kişinin KPM kullandığını biliyorsa, şifresini tamamen rastgele bir şifreden çok daha kolay kırabilir. Bununla birlikte, tavsiyemiz, bir araç tarafından kırılamayacak kadar güçlü olacak kadar uzun rastgele şifreler oluşturmaktır.

Daha önce KPM'nin, kiralık tablodaki bir dizin hesaplamak için $ r_1 $ ve $ r_2 $ iki rastgele değer seçtiğini görmüştük. İzin vermek’Şimdi bu değerlerin nasıl hesaplandığını gör.

KPM’S Rastgele Sayı Üreticisi

Bu iki değer doğrudan KPM PRNG'den gelir. Bu PRNG çıkışları 0 ila 1 arasında eşit olarak yüzer, 1 hariç tutulur.

Kullanılan PRNG, masaüstünde ve web sürümünde farklılık gösterir:

• Web sürümü matematik kullandı.rastgele() . Bu işlev, https: // geliştiricide açıklandığı gibi, kriptografik olarak güvenli rastgele sayılar oluşturmak için uygun değildir (şifreler oluşturmak için gerekli entropi içerir).mozilla.org/en-us/docs/web/javascript/referans/global_objects/matematik/rastgele. Matematik için Chrome, Firefox ve Safari tarafından kullanılan temel PRNG.Random () xorshift128+. Çok hızlı, ancak kriptografik malzeme üretmek için uygun değil. KPM'deki güvenlik sonuçları incelenmedi, ancak Kaspersky'ye pencereyle değiştirilmesini tavsiye ettik.kripto.GetRandomValues ​​(), daha önce bahsedilen Mozilla belge sayfasında önerildiği gibi.
• Masaüstü sürümü Boost tarafından sağlanan bir PRNG kullandı: MT19937 Mersenne Twister. Mersenne Twister çok iyi ve yaygın olarak kullanılan PRNG ve Mt 19937 en popüler Mersenne Twister. Düzgün dağılmıştır, çok uzun bir süredir ve diğerine kıyasla hızlıdır “iyi” PRNG'ler.

Ancak, bir Mersenne Twister'ı şifreler oluşturmak için iyi bir fikir kullanıyor? Kesinlikle hayır.

Bu jeneratörle ilgili sorun, bunun bir csprng olmaması. Çıkışlarından birkaçını (bu durumda 624) bilmek, tüm durumunu almaya ve üreteceği tüm değerleri ve zaten ürettiği tüm değerleri tahmin etmeyi sağlar (bkz. Berekamp-Massey veya Reeds-sloane algoritmaları).

Randcrack gibi hazır araçlar Python'u kırmak için kullanılabilir’MT 19937'nin çok benzer (aynı değilse) bir uygulamasını kullanan rastgele modül. Artırma uygulamasını kırmak için sadece çok küçük uyarlamalar gerekli olmalıdır.

Uygulamada, Kaspersky bağlamında böyle bir kusurdan yararlanmak’S şifre yöneticisi zor:

• Şifreler kısa: Varsayılan olarak 12 karakter. 624 şifre karakterini almak 52 şifre almayı gerektirir.
• Ham çıkış değeri bilinmiyor: Çıktı değeri, şifrenin her harfinin charset'indeki konumdur. Daha fazla değer gerekli olabilir.
• Ve charset'teki bu konumun, PRNG tarafından üretilen iki değerin ürünü olduğunu gördük.

KPM bağlamında bu PRNG'ye saldırmanın basit bir yolunu görmüyoruz.

Mersenne Twister'ı tohumlamak

PRNG'nin [0, 1 [[. Başlatılmasından sorumlu kod şu şekilde görünmelidir:

MT19937::sonuç_type tohum = . ; Oto MTRAND = pist::bağlanmak(pist::uniform_real_distributionbatmadan yüzmek>(0,1), MT19937(tohum)); 

Tohum nereden geliyor? Şifre oluşturma işlevine şöyle denir:

pist::sicim pwlib::şifre oluştur(pwdlib::Politika politika, int tohum)  eğer (tohum == 0)  Fileton ft; GetSystemtimeasFileTime(& &ft); tohum = ft.dwlowdateTime + ft.dwhighdateTime; > Oto MTRAND = pist::bağlanmak(pist::uniform_real_distributionbatmadan yüzmek>(0,1), MT19937(tohum)); geri dönmek jeneraterAndOmpassword(politika, MTRAND); > 

Bu iki nedenden dolayı çok ilginç:

• Tohum sadece 32 bit. Bu kolayca kaba olabileceği anlamına gelir.
• Bir şifre her oluşturulduğunda PRNG örneği oluşturulur. Bu, Kaspersky şifre yöneticisinin belirli bir kiralama seti için en fazla 2 $^parola oluşturabileceği anlamına gelir.

GetSystemTimeasFiletime, tohum olarak sadece GeneratePassword yöntemine bir tohum sağlanmadıysa kullanılır. Bir kullanıcı yeni bir şifre istediğinde bu yöntem nasıl denir?? Cevap:

pist::sicim pwlib::şifre oluştur(pwdlib::Politika politika)  geri dönmek şifre oluştur(politika, zaman(0)); > 

Yani her şifreyi oluşturmak için kullanılan tohum, saniyeler içinde geçerli sistem süresidir. Bu, dünyadaki Kaspersky şifre yöneticisinin her örneğinin belirli bir saniyede aynı şifreyi oluşturacağı anlamına gelir. Bu, her tıklamanın “Üretmek” Parola jeneratör arayüzünde düğme, aynı şifreyi üretti. Bununla birlikte, bazı nedenlerden dolayı, şifre üretimi canlandırılır: Gerçek şifre zaten hesaplanmışken düzinelerce rastgele karakter görüntülenir:

Bu animasyon 1 saniyeden fazla sürer, bu nedenle birkaç kez tıklamak mümkün değildir “Üretmek” Bir saniye içinde düğme. Kesinlikle bu yüzden zayıflık daha önce keşfedilmemişti.

Sonuçlar açıkça kötü: Her şifre kabarık olabilir. Örneğin, 2010-2021 arasında 315619200 saniye vardır, bu nedenle KPM belirli bir charset için en fazla 315619200 şifre üretebilir. Onları kaba bir şekilde birkaç dakika sürer.

Web sitelerinin veya forumların hesapların oluşturma süresini göstermesi oldukça yaygındır. Bir hesabın oluşturma tarihini bilerek, bir saldırgan hesap şifresini küçük bir parola (~ 100) ile zorlaştırmayı deneyebilir ve ona erişebilir.

Ayrıca, karma şifreler, şifreli arşivler için şifreler, TrueCrypt/Veracrypt ciltleri, vb. Kaspersky şifre yöneticisi kullanılarak oluşturulmuşlarsa kolayca alınabilir.

Beklenmedik bir entropi kaynağı: Boundsed okundu

Bir şeyi kaçırmadığımızdan emin olmak için bir kavram kanıtı yazdık. Güncel 1000 olası şifre listesi oluşturur. POC'yi test etmek için:

Verilen POC'yi derleyin (PWLIB.CPP). Dosya Visual C ++ ile derlenmelidir (kaynak kodundaki yüzen değerler, Clang veya GCC ile derlendiğinde tam olarak aynı değerlere sahiptir). Testlerim için Visual C ++ 2017'yi kullandım. Visual C ++ 32 bit için bir komut davetini kullanarak:

 CMake -bbuild -H. msbuild yapısı \ pwbrute.vcxproj 

 Hata ayıklama \ pwbrute.exe> geçiş.txt 

• Sadece küçük harf
• 12 Chars

Tamamen işlevsel değil, ancak önceden oluşturulan karakterleri bilerek belirli bir harfin görünüm olasılığını hesaplayan işlevde şifre oluşturma işleminde bir hata keşfetmemize izin verdi. GetContextProBability yönteminin sözde kodu:

 const batmadan yüzmek *getContextProBability(const pist::sicim & &şifre)  pist::sicim lowercasepassword; // küçük harfe dönüştürün, sadece küçük harf tutun için (kargaşa C : şifre)  eğer (Islower(C))  lowercasepassword += C; > başka eğer (usan(C))  lowercasepassword += kargaşa(C - 'A' + 'A'); > > . int N = 0; için (int Ben = lowercasepassword.uzunluk() - 1; Ben > = 0; Ben--)  int indeks = şifre[Ben] - 'A'; // FixMe: LowerCasePassword ile değiştirin 

Oluşturulan şifre küçük harfe dönüştürülür. Leter olmayanlar kaldırıldı. Sonra bir yineleme var şifre Yeni oluşturulan küçük şifre yerine. Bu, dizin değişkeninin yanlış hesaplanmasına yol açar (alfabede bir harfin konumu). Bu dizin, bir dizinin bir öğesini almak için kullanılır. Bu, bu dizinin sınır dışı bir şekilde okunmasına yol açar.

Daha sonra görünüş sıklığı, bazı durumlarda başlatılmamış veya keyfi verilerden hesaplanır. Algoritma yanlış olmasına rağmen, bazı durumlarda şifreleri bruteforce etmek aslında zorlaştırır.

Saldırılan POC, sadece dizinin her zaman doğru bir şekilde hesaplanması için küçük şifreler için adaylar üretir (aksi takdirde POC uyarlanması gerekir).

İyileştirme

Kaspersky, bu güvenlik açığına CVE-2020-27020'yi atadı ve web sayfalarında bir güvenlik danışmanlığı yayınladı: https: // support.kaspersky.com/genel/güvenlik açığı.ASPX?EL = 12430#270421.

Bunlardan önceki tüm sürümler etkilenir:

• Windows 9 için Kaspersky şifre yöneticisi.0.2 Yama F
• Android 9 için Kaspersky şifre yöneticisi.2.14.872
• İOS 9 için Kaspersky şifre yöneticisi.2.14.31

Pencerelerde, Mersenne Twister PRNG'nin yerini BCryptGenRandom Fonksiyonu ile değiştirdi:

batmadan yüzmek Rastgele(Bcrypt_alg_handle *halgoritma)  uint32_t L; Bcryptgenrandom(*halgoritma, (uint8_t *)& &L, boyutu(L), 0); geri dönmek (batmadan yüzmek)L * (1.0F / 0x100000000); > 

Bu işlevin dönüş değeri Kaspersky tarafından sağlanan beta sürümlerinde kontrol edilmedi, ancak bunun şimdi düzeltildiğini tahmin ediyoruz.

Matematik.Web sürümünde random () güvenli pencere ile değiştirildi.kripto.getRandomValues ​​() yöntemi.

Android ve iOS sürümleri de yamalandı, ancak düzeltmelere bakmadık.

Çözüm

Kaspersky şifre yöneticisi, şifrelerini oluşturmak için karmaşık bir yöntem kullandı. Bu yöntem, standart şifre krakerleri için kırılması zor şifreler oluşturmayı amaçladı. Bununla birlikte, bu yöntem, özel araçlara karşı oluşturulan şifrelerin gücünü azaltır. Örnek olarak Keepass alarak güvenli şifrelerin nasıl oluşturulacağını gösterdik: rastgele çekilişler gibi basit yöntemler güvenlidir “modulo yanlılığı” Belirli bir karakter aralığından bir mektup bakarken.

Kaspersky'yi de inceledik’s prng ve çok zayıf olduğunu gösterdi. Boost kütüphanesinden alınan bir Mersenne Twister olan iç yapısı, kriptografik materyal üretmek için uygun değildir. Ancak en büyük kusur, bu PRNG'nin şu anki olarak saniyeler içinde tohumlanmasıdır. Bu, KPM'nin savunmasız sürümleri tarafından oluşturulan her şifrenin dakikalar içinde kabartılabileceği anlamına gelir (veya yaklaşık nesil süresini biliyorsanız bir saniye içinde).

Son olarak, KPM tarafından kullanılan tam üretim yöntemini detaylandıran bir kavram kanıtı sağladık. Kaspersky şifre yöneticisinin Windows sürümlerinde gerçekten mevcut olduğunu doğrulamak için kullanılabilir < 9.0.2 Patch F. Incidentally, writing this PoC allowed us to spot an out of bounds read during the computation of the frequency of appearance of password chars, which makes passwords a bit stronger that they should have been.

Zaman çizelgesi

• 15 Haziran 2019: Hackerone aracılığıyla Kasperky'ye gönderilen kavram raporu ve kanıtı.
• 17 Haziran 2019: Kaspersky, raporu aldığını kabul ediyor.
• 25 Haziran 2019: Kaspersky güvenlik açığını teyit ediyor.
• 4 Ekim 2019: Kaspersky, hataların düzeltildiğini kontrol edebilmemiz için özel bir pencere yapısı gönderiyor ve yıl sonundan önce daha önce oluşturulan şifreleri işlemek için bir çözüm sunacaklarını bize bildiriyor.
• 8 Ekim 2019: Güvenlik açıklarının düzeltildiğini teyit ediyoruz, ancak düzeltmede yeni bir küçük kusur bildiriyoruz.
• 10 Ekim 2019: Windows 9 için Kaspersky şifre yöneticisi.0.2 Yama D serbest bırakıldı, güvenlik açıklarını düzeltti, ancak bildirilen kusurun düzeltilmesi olmadan. Web sürümü de güncellendi.
• 9 Ekim 2019: Android sürüm 9 için Kaspersky şifre yöneticisi.2.14.Düzeltme ile 872 yayınlandı.
• 10 Ekim 2019: iOS sürüm 9 için Kaspersky şifre yöneticisi.2.14.Düzeltme ile 31 yayınlandı.
• 10 Aralık 2019: Windows 9 için Kaspersky şifre yöneticisi.0.2 Patch F, Yama D'deki kusuru kapatarak serbest bırakıldı.
• 9 Nisan 2020: Kaspersky, daha önce oluşturulan şifreleri işlemek için Ekim ayında bir yama yayınlayacağını bize bildiriyor.
• 13 Ekim 2020: Kaspersky şifre yöneticisi 9.0.2 Patch M yayınlandı, kullanıcılara bir bildirim, bazı şifreleri yeniden oluşturulmalı. Kaspersky bize aynı bildirimin 2021'in ilk çeyreğinde mobil sürümlerde de bulunacağını bildiriyor. CVE-2020-27020 de ayrıldı.
• 28 Aralık 2020: Kaspersky, CVE yayınlandıktan sonra güvenlik açığı hakkında bir raporun açıklanabileceğini kabul ediyor.
• 27 Nisan 2021: Kaspersky Güvenlik Danışmanlığı yayınlandı.
• 14 Mayıs 2021: CVE-2020-27020 için bilgiler yayınlandı.

Jean-Baptiste Bédrune

Güvenlik Araştırma Başkanı

Kaspersky'nin bir şifre jeneratörü var mı?

Verilerinizin güvenliği büyük ölçüde şifrenizin gücüne bağlıdır. Bir şifre, büyük ve küçük harfli Latin harfleri, rakamlar ve özel karakterler dahil en az 16 karakter içeriyorsa güçlü kabul edilir. Kaspersky Parola Yöneticisi benzersiz ve güçlü şifreler oluşturur. Parola uzunluğunu belirleyebilir ve basamaklar, harfler ve özel karakterler ekleyip eklemeyeceğinizi seçebilirsiniz. Yeni bir web sitesi hesabı oluşturduğunuzda veya mevcut bir hesap için şifrenizi değiştirdiğinizde şifre jeneratörü kullanabilirsiniz.

1. Parola oluşturucu penceresini aşağıdaki yollardan biriyle açın:
   • Ana Uygulama penceresinde, şifre jeneratörünü tıklayın .
   • Bir tarayıcı penceresinde uygulama simgesini tıklayın → Parola Jeneratörü simgesi .
   • Bir web sitesindeki bir şifre alanında, alanın üzerine gelin veya anahtar simgesini tıklayın Parola Jeneratör penceresini çağırmak için.

Parola oluşturucu penceresi açılır ve uygulama varsayılan ayarları kullanarak bir şifre oluşturur.

Gerekirse şifre parametrelerini değiştirin ve Daire Okları düğmesine basın Şifreyi oluşturmak için. Uygulama, şifre gücünün orta veya düşük olup olmadığını gösterir.

Parola oluşturma parametrelerini kaydetmek istiyorsanız, Ayarlar sekmesindeki Özel seçeneği seçin ve ihtiyacınız olan parametreleri belirtin. Sekmeyi değiştirseniz veya pencereyi kapatsanız bile parametreleriniz kaydedilecektir.

Tıklamak .

Uygulama, oluşturulan parolayı panoya kopyalar. Parolayı manuel olarak gerekli alana yapıştırabilirsiniz. Yeni bir web sitesi hesabı oluşturmak veya mevcut bir hesap için şifrenizi değiştirmek için şifre jeneratörü kullanırsanız, uygulama şifreyi otomatik olarak gerekli alana yapıştırır.

Ayrıca, yeni web sitesi, uygulama veya başka bir şey eklerken güçlü ve benzersiz bir şifre oluşturabilirsiniz .

1. Ana Uygulama penceresinde, Ekle'yi tıklayın, hesabı tıklayın ve web sitesini, uygulamayı veya diğerlerini seçin . Giriş penceresi açılır.
2. Parola alanında Oluştur'u tıklayın . Parola oluşturucu penceresi açılır ve uygulama varsayılan ayarları kullanarak bir şifre oluşturur.
3. Gerekirse şifre oluşturma parametrelerini belirtin.
4. Tıklamak . Uygulama, şifreyi otomatik olarak gerekli alana yapıştırır.

Kaspersky Parola Yöneticisi, onları kaybetmeniz durumunda panoya kopyalanan son 5 şifreyi kaydeder. Kopyalanmış şifrelerinizi şifre oluşturucu geçmişinde görüntüleyebilirsiniz. Uygulama, bilgisayarınızda kopyalanan şifreleri depolar ve bunları cihazlar arasında senkronize etmez.

Kasanızın kilidi açılırsa, şifre jeneratörü kullanılabilir.

1. Parola Jeneratör penceresini açın.
2. Parola Geçmişi sekmesini tıklayın. En son kopyalanan şifrelerinizin bir listesi açılır.
3. Panoya bir parolayı kopyalamak istiyorsanız, şifrenin yanındaki Kopyala düğmesini tıklayın. Parola panoya kopyalandı.
4. Parola jeneratör geçmişini temizlemek istiyorsanız, tümü temizleyin . Kopyalanmış şifreleriniz geçmişten silinir.

Kaspersky'nin bir şifre jeneratörü var mı?

Verilerinizin güvenliği büyük ölçüde şifrenizin gücüne bağlıdır. Bir şifre, büyük ve küçük harfli Latin harfleri, rakamlar ve özel karakterler dahil en az sekiz karakter içeriyorsa güçlü kabul edilir. Kaspersky Parola Yöneticisi benzersiz ve güçlü şifreler oluşturur. Parola uzunluğunu belirtebilir ve basamaklar ve özel karakterler ekleyip eklemeyeceğinizi seçebilirsiniz. Yeni bir web sitesi hesabı oluşturduğunuzda veya mevcut bir hesap için şifrenizi değiştirdiğinizde şifre jeneratörü kullanabilirsiniz.

1. Ana şifreyi girerek ve kilidinin açılmasıyla kasanın kilidini açın . Cihazınız Touch ID/Face Kimliği ve Touch Kimliği/Yüz Kimliği'ni desteklerse, uygulama ayarlarında etkinleştirilirse, ana şifreyi girmek yerine kasanızın kilidini açmak için kullanabilirsiniz.
2. Alt sekme çubuğunda profile dokunun . İPad'lerde, hızlı erişim çubuğu her zaman ekranın sol kısmında görüntülenir.
3. Hızlı erişim çubuğunda, şifre jeneratörüne dokunun . Parola oluşturucu penceresi açılır ve uygulama varsayılan parametreleri kullanarak bir şifre oluşturur.
4. Gerekirse şifre parametrelerini değiştirin:
   • Parola oluştururken kullanılacak karakter sayısını belirtmek için şifre uzunluğuna dokunun.
   • Parola oluşturma sırasında büyük harfleri kullanmak/kullanmak için büyük harfleri (A - Z) aç/kapat. Varsayılan olarak, bu geçiş anahtarı açılır.
   • Şifre oluşturma sırasında küçük harfleri kullanmak/kullanmak için küçük harfleri (A - Z) aç/kapat. Varsayılan olarak, bu geçiş anahtarı açılır.
   • Parola oluşturma sırasında rakamları kullanmak/kullanmak için rakamları (0-9) aç/kapama. Varsayılan olarak, bu geçiş anahtarı açılır.
   • Şifre oluşturma sırasında özel karakterleri kullanmak/kullanmak için özel karakterleri aç/kapat. Varsayılan olarak, bu geçiş anahtarı açılır. Geçiş anahtarının altındaki alanda şifre oluşturma sırasında kullanılan özel karakterleri ekleyebilir veya silebilirsiniz.

Size kolaylık sağlamak için, aşağıdaki benzer sembolleri şifre üretiminden hariç tuttuk: 0 (sıfır), O (Sermaye O), I (Sermaye I) ve L (küçük l).

Parametreler değiştirildiğinde uygulama otomatik olarak yeni bir şifre oluşturur. Oluşturulan şifrenin gücü orta veya düşükse, Kaspersky şifre yöneticisi sizi şifrenin altında bildirir. Seçilen parametreleri kullanarak tekrar bir şifre oluşturmak için dokunun.

Uygulama, oluşturulan parolayı panoya kopyalar. Parolayı manuel olarak gerekli alana yapıştırabilirsiniz. Parola oluşturucu penceresini kapattığınızda, uygulama kasanın kilidi açılıncaya kadar seçilen şifre parametrelerini kaydeder.

Hızlı bir şekilde şifre oluşturmak ve bunları panoya kopyalamak için, cihazınızın ana ekranında parola widget'ını da kullanabilirsiniz. Apple destek web sitesine widget ekleme hakkında daha fazla bilgi edin.

Şifre Yöneticisi

Kaspersky Parola Yöneticisi, aktif internet kullanıcısı için vazgeçilmez bir araçtır. Şifreleri ve diğer verileri web sitelerine girme sürecini tam olarak otomatikleştirir ve kullanıcının birden fazla şifre oluşturma ve hatırlama zahmetine girmesini kaydeder.

Giriş yapmak için Kaspersky Parola Yöneticisi'ni kullandığınızda, verilerinizin güvenli olduğundan emin olabilirsiniz. Yazılım, son derece güçlü şifreler oluşturur ve giriş bilgilerinizin çalınmasını önler. Tüm gizli veriler şifrelenir ve bilgisayarınızdaki özel bir veritabanında tutulur.

Kaspersky şifre yöneticisi, web deneyiminizi daha güvenli, daha hızlı ve daha uygun hale getirir.

En son sürümler

Faydalar

Farenin tek bir tıklamasıyla web sitelerine ve uygulamalara erişmenizi sağlar
Şifrelerinizi bilgisayarınızdaki şifreli bir veritabanında depolar, her hesap için güçlü, benzersiz bir şifre oluşturur
Bir flash sürücüden yüklenebilen ve başka bir bilgisayarda çalıştırılabilen bir mobil sürüm içerir
Otomatik olarak sizin için uzun formları doldurur

Ana Özellikler

• Farenin tek bir tıklamasıyla oturum açın
  Kaspersky Parola Yöneticisi, bir siteye döndüğünüzde giriş verilerinizi otomatik olarak sağlayacak şekilde kullanıcı adlarınızı ve ilişkili şifrelerinizi hatırlar. Kaspersky şifre yöneticisi ayrıca kimlik doğrulaması gerektiren uygulamalarla da çalışır.
• Şifreleriniz için güvenilir koruma
  Kaspersky Parola Yöneticisi, şifrelerinizi ve kişisel verilerinizi bilgisayarınızdaki özel, şifreli bir veritabanında güvenli bir şekilde saklar. Depolanan şifreler, yalnızca bir ana şifre veya kullanıcı tarafından tanımlanan başka bir kimlik doğrulama yöntemi kullanılarak deşifre edilebilir. Bu, şifrelerinizin güvenli olmasını sağlar ve suçluların onları çalmasını önler.
• Çeşitli kimlik doğrulama yöntemlerini destekler
  Kaspersky Parola Yöneticisi, bir ana şifre ile veya bir USB veya Bluetooth cihazı kullanarak şifre veritabanınıza erişimi kontrol etmenize yardımcı olur. Cep telefonunuzu bile kullanabilirsiniz: Parolalarınız, yalnızca cep telefonunuz bilgisayarınıza Bluetooth üzerinden bağlandığında kullanılabilir olacak şekilde yapılandırılabilir. Bilgisayarınızdan ayrılır ve telefonunuzu yanınıza alırsanız, veritabanı otomatik olarak kendini kilitler.
• Güçlü şifrelerin üretilmesi
  Verilerinizin güvenliği doğrudan şifrelerinizin ne kadar güçlü olduğuna bağlıdır. Kullanıcılar genellikle birden fazla hesap için benzer veya özdeş şifrelere sahiptir. Tek bir şifre kırarak, bir siber suçlu birçok hesaba kolayca erişebilir. Kaspersky şifre yöneticisine entegre olan şifre jeneratörü, sizin için çatlaması son derece zor olan güçlü şifreler oluşturacak.
• Diğer işletim sistemlerinden ve uygulamalardan şifreleri içe aktarın
  Internet Explorer veya Mozilla Firefox ile şifreler korunmasız bir formatta saklanır ve siber suçlular tarafından kolayca erişilebilir. Kaspersky Parola Yöneticisi, bu korunmasız şifreleri bulmanıza ve bunları şifreli şifre veritabanına aktarmanıza yardımcı olur.
• Mobil versiyon
  Kaspersky şifre yöneticisi&rsquo;S Mobile sürümü, herhangi bir bilgisayarda çalışırken, bir şey yüklemek zorunda kalmadan şifrelerinize erişim sağlar. Mobil sürüm, flash sürücüler dahil olmak üzere farklı mobil cihaz türlerinden başlatılabilir. Cihaz daha sonra kaldırılırsa, Kaspersky Password Manager, şifre veritabanını otomatik olarak kilitler ve şifre verilerinizin herhangi bir izini ana makineden kaldırır.
• Uzun formları otomatik olarak tamamlar
  Web sitesi formları genellikle kişisel bilgilerin kullanıcı adı ve şifrenin üstüne ve üstüne girmesini gerektirir. Bu tür ek veriler şunları içerebilir: tam adınız, doğum tarihiniz, seks, e -posta adresi, telefon numarası, ikamet ülkesi, vb. Kaspersky şifre yöneticisi, önceden sağladığınız bilgileri kullanarak sizin için bu tür formları otomatik olarak doldurabilir. İşle ilgili ve kişisel bilgileri ayrı ayrı saklamak için birkaç kimlik kartı kullanılabilir.
• Tek bir hesap sağlayıcısı için birkaç kullanıcı adı
  Bazen, tek bir web sitesi için birkaç şifre saklanmalıdır. Örneğin, her biri farklı bir amaca sahip, tek bir posta servis sağlayıcısına kayıtlı birkaç posta kutunuz olabilir. Kaspersky şifre yöneticisi, tek bir sağlayıcı için birkaç kullanıcı adını saklayabilir ve oturum açarken hangisini kullanmak istediğinizi kontrol edebilir.
• Otomatik yedekleme
  Kaspersky Password Manager, şifre veritabanınızın bir yedek kopyasını her değiştirildiğinde bilgisayarınızda otomatik olarak oluşturur. Geçerli veritabanı yanlışlıkla hasar görüyorsa veya önceki bir sürüme geri dönmek istiyorsanız parolalarınızı kolayca geri yükleyebilirsiniz.
• Keylogger'lara karşı etkili koruma
  Keylogger, kurbandaki tuş vuruşlarını izleyen kötü niyetli bir programdır&rsquo;kullanıcıyı yasadışı bir şekilde yakalamak için bilgisayar&rsquo;Şifreler gibi kişisel veriler. Kaspersky Password Manager, aslında klavyeyi kullanmadan şifrelere girer ve kişisel verilerinizi KeyLoggers'dan etkili bir şekilde korur.
• Kimlik avı saldırılarından korunma
  Kimlik avı, siber suçlu bir tür düşmanca etkinliktir, bu da kullanıcıyı kullanıcıyı hesap bilgilerini ifşa etmek için bir web sitesini ziyaret etmeye davet eder. Sahte site orijinal siteyle aynı görünüyor ve farkında olmayan bir kullanıcı sonuç olarak kişisel verilerini sağlar. Kaspersky Parola Yöneticisi, URL'nin otantik olup olmadığını ve yazılımınızın güncel olup olmadığını kontrol ederek kimlik avı saldırılarına etkili bir şekilde karşı çıkıyor.

sistem gereksinimleri

Yeni işletim sistemlerinin beta sürümleri veya önizlemeleri için destek sunmadığımızı lütfen unutmayın e.G. Windows 8.1 önizleme. Yalnızca son resmi sürümler desteklenecek.

• Microsoft Windows XP Home Edition
• Microsoft Windows XP Professional
• Microsoft Windows XP Professional X64 Sürümü
• Microsoft Windows Vista Home Basic (32/64 bit)
• Microsoft Windows Vista Home Premium (32/64 bit)
• Microsoft Windows Vista Business (32/64 bit)
• Microsoft Windows Vista Enterprise (32/64 bit)
• Microsoft Windows Vista Ultimate (32/64 bit)
• Microsoft Windows 7 Home Premium (32/64 bit)
• Microsoft Windows 7 Professional (32/64 bit)
• Microsoft Windows 7 Ultimate (32/64 bit)
• Windows 8 (32/64 bit)
• Windows 8 Pro (32/64 bit)
• Windows 8 Enterprise (32/64 bit)

• En az 512 MB mevcut RAM
  Sabit sürücüde 10 MB boş alan
  Bilgisayar faresi

• Microsoft Internet Explorer 6.0 - 10.0
• Mozilla Firefox 2.x - 25.X
• Google Chrome 6.0 - 30.0
• Maxthon 2.5.X
• Sürü 2.х
• Seamonkey 2.0.8 - 2.22
• Yandex 1.5

Kaspersky şifre yöneticisi kötü şifreler üretiyor

Kaspersky şifre yöneticisindeki rastgele sayı üreteci neredeyse yeterince rastgele değildi. İşte nedeni.

Adam Rowe tarafından yazılmıştır

7 Temmuz 2021'de yayınlandı

Rastgele oluşturulan bir şifrenin rastgele oluşturulduğunu varsaydığınız için affedilebilirsiniz. Kaspersky şifre yöneticisi için iki yıldan biraz daha az bir süredir geçerli değildi.

Siber güvenlik şirketinin şifre yöneticisi, özellikle göze çarpan bir kusurla yerleşik bir otomatik jeneratör kullanıyordu. Bunu yamaladılar, ancak herhangi bir Kaspersky şifre yöneticisi kullanıcıları daha önce oluşturulan şifrelerini en kısa zamanda değiştirmeli.

İşte yanlış giden şey.

Kusur

Parola Jeneratörü, bir seti izleyerek şifre oluşturmak için çalışır &ldquo;politika,&rdquo; Parola uzunluğu, büyük harfler, küçük harfler, rakamlar ve özel bir özel karakter seti içeren ayarlarla. Özelleştirilebilirler, ancak varsayılan ilke 12 karakterli bir şifre.

Zaten bir şifre yöneticisi kullanıyor musunuz?

Peki sorun nedir? Herhangi bir rastgele sayı üretecinin bir veya daha fazla entropi kaynağına ihtiyacı var - sonucun rastgele kalmasını sağlayan belirsizlik unsuru. Ancak Kaspersky'nin başladığı tohum, mevcut sistem süresiydi, saniyeler içinde. Evet, zaman, en öngörülebilir ve rastgele olmayan metriklerden biri.

Jean-Baptiste Bédrune Güvenlik Araştırma Başkanı Ledger Donjon, bir blog yazısında açıkladı:

&ldquo;Yani her şifreyi oluşturmak için kullanılan tohum, saniyeler içinde geçerli sistem süresidir. Bu, dünyadaki Kaspersky şifre yöneticisinin her örneğinin belirli bir saniyede aynı şifreyi oluşturacağı anlamına gelir. Bu, her tıklamanın &lsquo;Parola Jeneratör Arabiriminde Aynı Şifreyi Üretti 'Düğmesi Oluşturun.&rdquo;

İnsanların aynı saniyede üretilen her şifrenin aynı olduğunu fark etmemesinin nedeni, arayüzün oynadığı bir saniyelik bir animasyona sahip olması ve kimsenin aynı saniyede iki şifre üretememesini sağlamaktır.

Ama bu büyük bir kusur. Hileyi bilen herhangi bir hacker, herhangi bir şifreyi zorlayabilir: gün içinde saniye sayısı sonludur ve bir hacker, 2010 ve 2021 yılları arasında sadece birkaç dakika içinde on yılın saniyesine bağlı 315.619.200 paroladan geçebilir.

Ve bir çevrimiçi hesap, oluşturulduğu tarihi herkese açık bir şekilde görüntülerse, bir bilgisayar korsanının bir Kaspersky şifresini kırmadan önce daha az potansiyel şifre çalıştırması gerekecektir.

Güvenli şifreler gereklidir

Kaspersky konuyla ilgili uyarıldı ve bir düzeltme yaptı. Ancak, yazılımın savunmasız bir sürümü tarafından zaten oluşturulmuş olan her şifre hala kolayca kırılabilir - hizmeti kullanan herkes için biraz kabus, şifrelerinin kırılmamasını sağlamak için.

Kaspersky'nin şifre yöneticisini kullanırsanız, şifrelerinizi şimdi değiştirin. Ve çevrimiçi etkinliğinizi özel tutacak bir şifre yöneticisi için piyasadaysanız, tüm en iyi seçenekleri burada derinlemesine inceledik - hiçbiri rastgele sayı jeneratörlerini kolayca çatlamış bir algoritmaya bağlama konusunda sorun yaşamadık.