카스퍼 스키에는 비밀번호 생성기가 있습니까??

구축중인 암호는 소문자로 변환됩니다. 비자 레터가 제거됩니다. 그런 다음 반복이 있습니다 비밀번호 방금 생성 된 소문자 비밀번호 대신. 이것은 인덱스 변수의 잘못된 계산으로 이어집니다 (알파벳에서 문자의 위치). 이 색인은 배열의 요소를 검색하는 데 사용됩니다. 이 배열은이 배열을 읽지 않습니다.

Kaspersky Password Manager : 모든 암호는 당사에 속합니다

Kaspersky Password Manager에 포함 된 비밀번호 생성기에는 몇 가지 문제가있었습니다. 가장 중요한 것은 암호화 목적에 적합하지 않은 PRNG를 사용했다는 것입니다. 엔트로피의 단일 공급원은 현재 시간이었습니다. 생성 된 모든 비밀번호는 몇 초 만에 크게 강화 될 수 있습니다. 이 기사는 비밀번호를 안전하게 생성하는 방법, Kaspersky Password Manager가 실패한 이유 및이 결함을 이용하는 방법에 대해 설명합니다. 또한 버전이 취약한 지 테스트 할 수있는 개념 증명을 제공합니다.

제품이 업데이트되었고 최신 버전은’이 문제의 영향을받습니다.

소개

2 년 전, 우리는 Kaspersky가 개발 한 암호 관리자 인 KPM (Kaspersky Password Manager)을 보았습니다. 카스퍼 스키 비밀번호 관리자. 이 금고는 다른 암호 관리자와 마찬가지로 마스터 비밀번호로 보호됩니다. 사용자는 모든 암호를 사용하고 관리하기 위해 단일 암호를 기억해야합니다. 제품은 다양한 운영 체제 (Windows, MacOS, Android, iOS, Web…)에 사용할 수 있습니다. 암호화 된 데이터는 모든 장치간에 자동으로 동기화 될 수 있으며 항상 마스터 비밀번호로 보호됩니다.

KPM의 주요 기능은 암호 관리입니다. 암호 관리자의 핵심 요점 중 하나는 인간과는 달리 이러한 도구는 무작위의 강력한 암호를 생성하는 데 좋습니다. 보안 비밀번호를 생성하려면 Kaspersky Password Manager는 보안 비밀번호 생성 메커니즘에 의존해야합니다. 우리는 먼저 좋은 비밀번호 생성 방법의 예를보고, 카스퍼 스키가 사용한 방법이 결함이있는 이유와이를 이용한 방법을 설명합니다. 볼 수 있듯이이 도구에서 생성 된 비밀번호는 몇 초 만에 크게 강화 될 수 있습니다.

2 년 미만 후에이 취약점은 모든 버전의 KPM에서 패치되었습니다. 취약점은 CVE-2020-27020으로 할당되었습니다.

숯으로부터 강력한 암호를 생성합니다

단순성을 위해서’s는 오픈 소스 프로젝트 인 Keepass에서 암호가 어떻게 생성되는지 연구. 비밀번호 생성은 keepasslib의 다양한 클래스에서 구현됩니다.암호화.PasswordGenerator 네임 스페이스. Keepass는 암호를 생성하기위한 3 가지 방법을 제공합니다 : 숯 기반, 패턴 기반 및 사용자 정의 생성 방법.

더 간단한 방법은 숯불베이스 생성기이며, 주어진 숯불에서 암호를 만듭니다. 그것이 어떻게 작동하는지 보자. 암호 생성을 담당하는 기본 루프는 다음과 같습니다

Pwcharset PCS = 새로운 PWCHARSET (PWPROFILE.숯불.toString ());
만약에(!Pwgenerator.repareCharSet (PCS, PWPROFILE))
pwgerror를 반환하십시오.invalidcharset;
char [] v = 새로운 char [pwprofile.길이];
노력하다
{
(int i = 0; i < v.Length; ++i)
{
char ch = PwGenerator.GenerateCharacter(pcs, crsRandomSource);
if(ch == char.MinValue)
return PwgError.TooFewCharacters;
v[i] = ch;
if(pwProfile.NoRepeatingCharacters)
pcs.Remove(ch);
}
}

GenerateCharacter 메소드는 암호에서 모든 단일 문자를 생성하도록 호출됩니다. 숯불과 임의의 소스가 필요하고 숯불에서 임의의 문자를 출력합니다. 구현은 다소 간단합니다

내부 정적 Char GenerateCharacter (pwcharset pwcharset, cryptorandomstream crsrandomsource)
{
uint cc = pwcharset.크기;
if (cc == 0)
숯을 반환하십시오.MinValue;
uint i = (uint) crsrandomsource.getrandomuint64 (CC);
반환 pwcharset [i];
}

1. Kaspersky Password Manager의 암호 생성기가 어떻게 실패 했습니까??

Kaspersky Password Manager의 비밀번호 생성기는 암호화 목적에 적합하지 않은 PRNG (Pseudo-Random 번호 생성기)를 사용했기 때문에 실패했습니다. 엔트로피 소스로서 현재 시간에만 의존하여 생성 된 암호를 쉽게 강제 할 수 있습니다.

2. 안전한 비밀번호를 생성하는 것이 중요한 이유는 무엇입니까??

약한 암호는 쉽게 추측 할 수 있고 공격자가 손상 될 수 있으므로 안전한 비밀번호를 생성하는 것이 중요합니다. 강력하고 임의의 암호는 온라인 계정에 더 나은 보안을 제공하고 무단 액세스로부터 민감한 정보를 보호하는 데 도움이됩니다.

삼. Kaspersky Password Manager의 결함이있는 비밀번호 생성 방법은 어떻게 했습니까??

Kaspersky Password Manager의 결함이있는 암호 생성 방법은 적절한 엔트로피가 없기 때문에 생성 된 암호를 쉽게 처리 할 수있었습니다. 현재 시간 만 기반으로 PRNG를 사용하면 암호를 정확하게 예측하고 추측하여 공격에 취약하게 만들 수있었습니다.

4. Kaspersky Password Manager의 취약성에 할당 된 CVE 번호는 얼마입니까??

Kaspersky Password Manager의 취약점에는 CVE-2020-27020 번호가 할당되었습니다.

5. recopass에서 암호는 어떻게 생성됩니까??

암호는 숯불 기반 생성기를 포함한 다양한 방법을 사용하여 keepass에서 생성됩니다. 이 메소드는 주어진 숯을 기반으로 암호를 생성하여 생성 된 암호에 지정된 세트의 문자가 혼합되어 있는지 확인합니다.

6. Keepass의 Pwcharset 클래스의 목적은 무엇입니까??

Keepass의 Pwcharset 클래스는 암호 생성에 사용할 수있는 문자 세트를 정의하고 관리하는 데 사용됩니다. 생성 된 암호에 포함 된 문자에 대한 사용자 정의 및 제어가 가능합니다.

7. GenerateCharacter 방법은 Keepass에서 어떻게 작동합니까??

Keepass의 GenerateCharacter 메소드는 입력 매개 변수로 숯불과 임의의 소스를 가져 와서 지정된 숯으로부터 임의 문자를 반환합니다. 생성 된 문자가 제공된 문자 세트에서 무작위로 선택되도록합니다.

8. 캐릭터 세트가 Keepass에서 비어 있으면 어떻게됩니까??

캐릭터 세트가 keepass에서 비어 있으면 GenerateCharacter 메소드가 값을 반환합니다.MinValue. 이것은 지정된 숯으로 사용할 수있는 문자가 없으며 암호 생성 프로세스에서 오류가 발생할 수 있음을 나타냅니다.

9. Kaspersky Password Manager의 비밀번호 생성기가 비 글체 문자를 처리하는 방법?

Kaspersky Password Manager의 비밀번호 생성기가 구축중인 암호를 소문자로 변환하고 비 글체 문자를 제거했습니다. 이 프로세스는 발전기가 사용하는 결함이있는 방법론의 일부였으며, 결국 암호를 쉽게 무차별하게 만들 수있는 취약점으로 이어졌습니다.

10. Kaspersky Password Manager의 취약점이 패치되었습니다?

예, Kaspersky Password Manager의 취약점은 모든 버전에서 패치되었습니다. 제품의 최신 버전은이 문제의 영향을받지 않습니다.

카스퍼 스키에는 비밀번호 생성기가 있습니까??

구축중인 암호는 소문자로 변환됩니다. 비자 레터가 제거됩니다. 그런 다음 반복이 있습니다 비밀번호 방금 생성 된 소문자 비밀번호 대신. 이것은 인덱스 변수의 잘못된 계산으로 이어집니다 (알파벳에서 문자의 위치). 이 색인은 배열의 요소를 검색하는 데 사용됩니다. 이 배열은이 배열을 읽지 않습니다.

Kaspersky Password Manager : 모든 암호는 당사에 속합니다

Kaspersky Password Manager에 포함 된 비밀번호 생성기에는 몇 가지 문제가있었습니다. 가장 중요한 것은 암호화 목적에 적합하지 않은 PRNG를 사용했다는 것입니다. 엔트로피의 단일 공급원은 현재 시간이었습니다. 생성 된 모든 비밀번호는 몇 초 만에 크게 강화 될 수 있습니다. 이 기사는 비밀번호를 안전하게 생성하는 방법, Kaspersky Password Manager가 실패한 이유 및이 결함을 이용하는 방법에 대해 설명합니다. 또한 버전이 취약한 지 테스트 할 수있는 개념 증명을 제공합니다.

제품이 업데이트되었고 최신 버전은’이 문제의 영향을받습니다.

소개

2 년 전, 우리는 Kaspersky가 개발 한 암호 관리자 인 KPM (Kaspersky Password Manager)을 보았습니다. 카스퍼 스키 비밀번호 관리자. 이 금고는 다른 암호 관리자와 마찬가지로 마스터 비밀번호로 보호됩니다. 사용자는 모든 암호를 사용하고 관리하기 위해 단일 암호를 기억해야합니다. 제품은 다양한 운영 체제 (Windows, MacOS, Android, iOS, Web…)에 사용할 수 있습니다. 암호화 된 데이터는 모든 장치간에 자동으로 동기화 될 수 있으며 항상 마스터 비밀번호로 보호됩니다.

KPM의 주요 기능은 암호 관리입니다. 암호 관리자의 핵심 요점 중 하나는 인간과는 달리 이러한 도구는 무작위의 강력한 암호를 생성하는 데 좋습니다. 보안 비밀번호를 생성하려면 Kaspersky Password Manager는 보안 비밀번호 생성 메커니즘에 의존해야합니다. 우리는 먼저 좋은 비밀번호 생성 방법의 예를보고, 카스퍼 스키가 사용한 방법이 결함이있는 이유와이를 이용한 방법을 설명합니다. 볼 수 있듯이이 도구에서 생성 된 비밀번호는 몇 초 만에 크게 강화 될 수 있습니다.

2 년 미만 후에이 취약점은 모든 버전의 KPM에서 패치되었습니다. 취약점은 CVE-2020-27020으로 할당되었습니다.

숯으로부터 강력한 암호를 생성합니다

단순성을 위해서’s는 오픈 소스 프로젝트 인 Keepass에서 암호가 어떻게 생성되는지 연구. 비밀번호 생성은 keepasslib의 다양한 클래스에서 구현됩니다.암호화.PasswordGenerator 네임 스페이스. Keepass는 암호를 생성하기위한 3 가지 방법을 제공합니다 : 숯 기반, 패턴 기반 및 사용자 정의 생성 방법.

더 간단한 방법은 숯불베이스 생성기이며, 주어진 숯불에서 암호를 만듭니다. 그것이 어떻게 작동하는지 보자. 암호 생성을 담당하는 기본 루프는 다음과 같습니다

pwcharset PC = 새로운 pwcharset(pwprofile.숯불.토스트 링()); 만약에(!Pwgenerator.reparecharset(PC, pwprofile))) 반품 pwgerror.invalidcharset; 숯[] V = 새로운 숯[의 뜻pwprofile.길이]; 노력하다  ~을 위한(int 나 = 0; 나  V.길이; ++나))  숯 ch = Pwgenerator.GenerateCharacter(PC, Crsrandomsource); 만약에(ch == 숯.MinValue)) 반품 pwgerror.TOOFEWCHARACTERS; V[의 뜻나]] = ch; 만약에(pwprofile.Norepeatingcharacters)) PC.제거하다(ch); > . > 

GenerateCharacter 메소드는 암호에서 모든 단일 문자를 생성하도록 호출됩니다. 숯불과 임의의 소스가 필요하고 숯불에서 임의의 문자를 출력합니다. 구현은 다소 간단합니다

내부 공전 숯 GenerateCharacter(pwcharset pwcharset, cryptorandomstream Crsrandomsource))  uint CC = pwcharset.크기; 만약에(CC == 0)) 반품 숯.MinValue; uint 나 = (uint))Crsrandomsource.getrandomuint64(CC); 반품 pwcharset[의 뜻나]; > 

마지막으로, getrandomuint64는 0과 cc -1 사이의 값을 출력하는 균일 랜덤 숫자 생성기입니다

내부 울롱 getrandomuint64(울롱 umaxexcl))  만약에(umaxexcl == 0))  디버그.주장하다(거짓); 던지다 새로운 ArgumentOutOfRangeException("umaxexcl"); > 울롱 Ugen, 요법; 하다  Ugen = getrandomuint64(); 요법 = Ugen 비율 umaxexcl; > ~하는 동안(Ugen - 요법)) > (울롱.MaxValue - (umaxexcl - 1U엘))); // 이것은 블록의 마지막 번호를 보장합니다 (i.이자형. // (Ugen -Urem) + (umaxexcl -1))는 생성 가능합니다 // 서명 된 Long의 경우 오버플로가 음수로 : // while ((Ugen -Urem) + (umaxexcl -1) < 0);반품 요법; > 

여기서 중요한 것은 각 캐릭터가 생성된다는 것입니다 다른 것과 독립적으로: 모든 캐릭터는 무작위이며 이전에 어떤 문자가 생성되었는지 아는 것은 생성 될 다음 숯에 대한 정보를 제공하지 않습니다.

마지막으로,하자’getrandomuint64가 암호적으로 강하고 무작위 64 비트 수를 생성한다고 가정합니다. 왜 여기에 루프가 있고 왜이 함수가 단순히 return getrandomuint64 () % umaxexcl로 구현되지 않는 이유; ?

균일 무작위 숫자 생성

이 루프는 필수적입니다 균일하게 범위에서 숫자를 생성합니다.

10 개의 가능한 숯의 숯으로부터 임의의 숯을 얻고 싶다고 상상해보십시오. 그리고 당신은 0에서 32 사이의 숫자를 출력하는 임의의 숫자 생성기 방법 getrandom32 (32 제외)를 가지고 있다고 상상해보십시오. 그러한 숯을 출력하는 간단한 방법은 다음과 같습니다

Const 끈 숯불 = "0123456789"; 반품 숯불[의 뜻getrandom32() 비율 10]; 

허락하다’s 문자가 어떻게 생성되는지 확인하십시오

• “4” getRandom32 ()가 4, 14 또는 24를 반환하면 반환됩니다 (3 개의 가능한 값)
• “5” getRandom32 ()가 5, 15 또는 25를 반환하면 반환됩니다 (3 개의 가능한 값)
• 하지만 “1” getrandom32 ()가 1, 11, 21 및 31을 반환하면 반환됩니다 (4 가지 가능한 값!))

분포는 다음과 같습니다

따라서이 방법에는 편견이 있습니다. 출력에서 ​​볼 수 있듯이 숫자 0과 1은 다른 것보다 더 자주 출력됩니다. 일반적으로라고합니다 “모듈로 바이어스”. 훌륭한 결정 가이드를 확인해야합니다 “모듈 식 바이어스” 그리고 더 많은 정보를 얻으려면 Kudelski Security의 피하는 방법.

이것을 제거합니다 “모듈로 바이어스”, 일반적인 방법은 30보다 큰 모든 숫자를 폐기하는 것입니다 (32보다 10의 가장 큰 배수) :

Const 끈 숯불 = "0123456789"; 하다  Ugen = getrandom32(); > ~하는 동안 (Ugen > = 30); 반품 숯불[의 뜻Ugen 비율 10]; 

getrandomuint64가 암호 문자 세트의 크기보다 훨씬 더 큰 값을 생성하기 때문에 receatass의 바이어스는 현재 예제보다 훨씬 덜 중요 할 것입니다.

우리는 임의의 소스가 균일하다고 가정하면 주어진 문자 범위에서 문자를 균일하게 선택하는 방법을 보았습니다. 허락하다’s는 암호적으로 강한 랜덤 숫자를 생성하기에 어떤 종류의 소스가 적합한 지 확인하십시오.

암호화 적으로 보안 PRNG

생성 된 숫자는 있어야합니다 무작위의. 그러나 그것은 정확히 무엇을 의미합니까?? 일반적인 좋은 PRNG는 일련의 테스트, 주로 Diehard 또는 Dieharder 테스트와 같은 통계적 무작위성 테스트를 통과합니다.

암호화 보안 PRNG (CSPRNG)도 해당 테스트를 통과하지만 다른 두 가지 요구 사항도 있습니다

• 차세대 테스트를 만족시켜야합니다. CSPRNG에 의해 이미 생성 된 모든 비트를 알면, 다음 비트를 예측할 수있는 다항식 시간 방법이 없습니다.5.
• 언제라도 CSPRNG의 전체 상태가 손상되면 CSPRNG에 의해 이전에 반환 된 비트를 검색 할 방법이 없습니다.

이 점은 비밀번호 생성에 필수적입니다. 예를 들어, 어떤 이유로 암호가 손상된 경우, 비 CSPRNG 가이 암호를 생성하는 데 사용 된 경우 공격자는이 PRNG를 사용하여 생성 된 다른 암호를 검색 할 수 있습니다. 대부분의 운영 체제는 CSPRNG 구현을 제공합니다.

일부 소프트웨어는 운영 체제 PRNG에 의해 종종 완전히 또는 부분적으로 파종 된 자체 구현을 선호합니다. Keepass는 Salsa20 및 Chacha20을 기반으로 두 개의 prng를 사용하고 Arcfour의 변형을 기반으로 한 레거시입니다. 허락하다’s는 처음 두 PRNG가 암호적으로 안전하다고 가정합니다. 이제 우리는 주어진 숯불에서 임의의 보안 비밀번호를 생성하는 모든 요소를 ​​가지고 있습니다.

카스퍼 스키’S 비밀번호 생성 방법

Kaspersky Password Manager에는 내장 암호 생성기가 있으며 주어진에서 암호를 생성합니다 “정책”. 정책 설정은 간단합니다 : 비밀번호 길이, 대문자, 소문자, 숫자 및 특수 숯의 맞춤형 세트. 이러한 모든 설정은 여기에 표시된 것처럼 비밀번호 생성기 인터페이스에서 구성 할 수 있습니다 (표준 설정)

기본적으로 KPM은 확장 숯으로 12 자 암호를 생성합니다.

외관의 빈도를 속입니다

생성 절차는 Keepass 방법보다 훨씬 더 복잡합니다. KPM은 먼저 2 개의 랜덤 플로트 $ r_1 $와 $ r_2 $를 0과 1 사이에 선택하고 암호 숯불 길이에 곱하면 숯불 테이블에서 값을 선택합니다

숯불 = . # 사용할 문자 설정 R1 = 무작위의.무작위의() R2 = 무작위의.무작위의() POS = R1 * R2 * 렌(숯불)) 반품 숯불[의 뜻POS]] 

$ r_1 \ times r_2 $의 분포는 (Mathworld 덕분에) :

\ [\ begin p [r_1 r_2 = a] & = & \ int_0^1 \ int_0^1 \ delta (xy -a) dy dx \\ & = & \ int_0^1 \ int_^\ delta (z) \ frac dz dx \\ & = & \ int_0^1 1 (x \ geq a) \^^^ \ frac dx \\ & = & -ln (a) \ end \]

이 함수의 분포는 균일하지 않습니다 : 낮은 위치는 1에서 가까운 값보다 더 많은 기회가 있습니다. 이러한 방법은 매우 수수께끼이지만 KPM이 구현하고 싶었던 것 같습니다.

charset은 어떻게 생성됩니까?? 완전히 주문 되었습니까? “abcdefghij…”? 아니요…

• 처음 세 숯의 경우 숯이 완전히 주문되었습니다 (거의… 나중에 볼 것입니다).
• 그런 다음 다음 문자의 경우 KPM은 문자 빈도에 의존합니다. 생성 된 비밀번호에 더 자주 나타나야한다고 가정합니다. KPM에 사용 된 각 문자의 유령의 빈도는 다음과 같이 표시됩니다

그런 다음, charset은 각 문자의 역전 주파수에 따라 주문됩니다 : q, x, z, w… n, a, e.

분포 함수가 주어지면 더 낮은 값이 나타날 가능성이 높으므로 일부 숯을 가정 할 수 있습니다 “큐” 그리고 “엑스” KPM에 의해 생성 된 암호에 나타날 가능성이 훨씬 높습니다.

이러한 통계가 독립적으로 취해서 암호의 모든 숯을 생성 한 경우, 종종 몇 가지를 볼 수 있습니다 “큐”, “엑스” 또는 “지” 비밀번호에서. 그러나 상황이 더 복잡합니다 : 생성 된 숯은 외관 주파수의 계산에서 고려됩니다. 만약 “지” 생성 된 다음 모양의 확률입니다 “지” 주파수 테이블에서 강하게 증가합니다. 이 테이블에 따라 숯이 주문되면, “지” 테이블의 끝에있을 것이며 변경 사항이 훨씬 적을 것입니다.

이러한 변화는 또한 다른 글자에도 영향을 미칩니다 “지” 의 확률은 선택되었습니다 “ㅏ”, “이자형”, “중”, “큐”, “에스” 그리고 “엑스” 또한 증가했습니다. 반대로, “시간” 감소했다. 그러나 이후에 “시간” 선택되면 외관 확률이 많이 증가합니다.

우리의 가설은 표준 암호 크래킹 도구를 속이는 방법으로 구현되었다는 것입니다. Hashcat 또는 John the Ripper와 같은 비밀번호 크래커 유망한 후보자 비밀번호, e.g. 인간이 생성 한 암호. 암호 크래킹 방법은 아마도 “이자형” 그리고 “ㅏ” 인간이 만든 암호로 “엑스” 또는 “제이”, 또는 큰 램 “th” 그리고 “그” 보다 훨씬 더 자주 나타납니다 “QX” 또는 “Zr”.

인간이 암호가 생성하는 방식에 숨겨진 Markov 모델이 있다고 가정하는 Markov Generator와 같은 전용 기술은이 생성 방법을 직접 중단 할 수 있습니다 (자세한 내용은 시간 공간 트레이드 오프를 사용하여 암호에 대한 빠른 사전 공격 참조).

따라서 KPM에 의해 생성 된 비밀번호는 평균적으로 이러한 도구에서 테스트 한 후보 암호 목록에 있습니다. 공격자가 KPM에 의해 생성 된 암호 목록을 깨뜨려고한다면 아마도 첫 번째 암호가 발견 될 때까지 꽤 오랫동안 기다릴 것입니다. 이것은 매우 영리합니다.

그러나 공격자 인 경우 알고 있습니다 비밀번호는 KPM에 의해 생성되었으므로 모델을 고려하여 kpm을 고려할 수 있도록 도구를 조정할 수 있습니다. 이러한 암호는 어떤 의미에서 (암호 크래커를 다루기 위해) 편견이 있으므로이 바이어스는이 도구에서 생성 된 가장 가능성있는 암호를 생성하고 먼저 테스트하는 데 사용될 수 있습니다. John the Ripper가 제공 한 것 (이 방법은 테스트되지 않음)과 같이 Markov 생성기를 사용하는 것입니다.

우리는 생성 알고리즘 자체가 그렇게 나쁘지 않다고 결론을 내릴 수 있습니다. 표준 도구에 저항 할 것입니다. 그러나 공격자가 사람이 KPM을 사용하는 것을 알고 있다면 완전히 무작위 비밀번호보다 훨씬 쉽게 비밀번호를 깰 수 있습니다. 그러나 우리의 권장 사항은 도구에 의해 너무 강해질 정도로 오랫동안 임의의 암호를 생성하는 것이 좋습니다.

우리는 이전에 KPM이 숯불 테이블에서 인덱스를 계산하기 위해 2 개의 랜덤 값 $ R_1 $와 $ r_2 $를 선택했음을 알았습니다. 허락하다’이 값이 어떻게 계산되는지 확인하십시오.

KPM’무작위 번호 생성기

이 두 값은 KPM PRNG에서 직접 제공됩니다. 이 PRNG 출력은 ​​0에서 1 사이에 균일하게 떠 다니며 1, 1은 제외됩니다.

사용 된 PRNG는 데스크탑과 웹 버전에서 다릅니다

• 웹 버전은 수학을 사용했습니다.무작위의() . 이 기능은 https : // developer에 설명 된 바와 같이 암호화 보안 랜덤 숫자 (암호를 생성하는 데 필요한 엔트로피 포함)를 생성하는 데 적합하지 않습니다.모질라.org/en-us/docs/web/javascript/reference/global_objects/math/random. 수학을 위해 Chrome, Firefox 및 Safari가 사용하는 기본 PRNG.random ()는 xorshift128입니다+. 매우 빠르지 만 암호화 자료를 생성하는 데 적합하지 않습니다. KPM의 보안 결과는 연구되지 않았지만 카스퍼 스키에게 창으로 대체 할 것을 권고했습니다.암호화.이전에 언급 한 Mozilla 문서 페이지에서 권장하는 getrandomValues ​​().
• 데스크탑 버전은 부스트가 제공 한 PRNG를 사용했습니다 : MT19937 Mersenne Twister. Mersenne Twister는 매우 훌륭하고 널리 사용되는 PRNG이며 19937 년 MT는 가장 인기있는 Mersenne Twister입니다. 그것은 균일하게 분포되어 있고, 매우 긴 기간이며, 다른 사람에 비해 빠릅니다 “좋은” prngs.

그러나 Mersenne Twister를 사용하여 암호를 만들기 위해 좋은 아이디어를 사용하고 있습니다? 기필코 아니다.

이 생성기의 문제점은 CSPRNG가 아니라는 것입니다. 몇 가지 OUPUT (이 경우 624)를 알면 전체 상태를 검색하고 생성 할 모든 값과 이미 생성 한 모든 값을 예측할 수 있습니다 (Berlekamp-Massey 또는 Reeds-Sloane 알고리즘 참조).

Python을 깨뜨릴 수있는 Randcrack과 같은 상용 도구를 사용할 수 있습니다’MT 19937의 매우 유사한 (동일하지 않은 경우) 구현을 사용하는 무작위 모듈. 부스트 구현을 중단하려면 매우 사소한 적응이 필요합니다.

실제로 카스퍼 스키의 맥락에서 그러한 결함을 이용’S 암호 관리자는 어렵습니다

• 비밀번호는 짧습니다 : 기본적으로 12 숯. 624 암호를 검색하는 것은 52 개의 비밀번호를 가져와야합니다.
• 원시 출력 값은 알려져 있지 않습니다. 출력 값은 비밀번호의 각 문자의 숯불 위치입니다. 더 많은 가치가 필요할 수 있습니다.
• 그리고 우리는 Charset 에서이 위치가 PRNG가 생성 한 두 값의 산물이라는 것을 알았습니다.

우리는 KPM의 맥락 에서이 PRNG를 공격하는 간단한 방법을 보지 못합니다.

Mersenne Twister를 시드

우리는 PRNG가 균일하게 [0, 1 [에서 플로트를 생성하는 것을 보았다. 초기화를 담당하는 코드는 다음과 같아야합니다

MT19937::result_type 씨앗 = . ; 자동 Mtrand = std::묶다(std::uniform_Real_distribution뜨다>(0,1)), MT19937(씨앗)); 

씨앗은 어디에서 왔습니까?? 암호 생성 기능은 다음과 같이 호출됩니다

std::끈 pwlib::GeneratePassword(pwdlib::정책 정책, int 씨앗))  만약에 (씨앗 == 0))  파일 타임 피트; getSystemTimeAsFileTime(&이었다피트); 씨앗 = 피트.DwlowdateTime + 피트.dwhighdateTime; > 자동 Mtrand = std::묶다(std::uniform_Real_distribution뜨다>(0,1)), MT19937(씨앗)); 반품 GeneraterAndactassword(정책, Mtrand); > 

이것은 두 가지 이유로 매우 흥미 롭습니다

• 씨앗은 단지 32 비트입니다. 즉, 쉽게 무차별 적으로 강화 될 수 있습니다.
• PRNG 인스턴스는 암호가 생성 될 때마다 생성됩니다. Kaspersky Password Manager는 주어진 숯불에 대해 최대 $ 2^$ 암호를 생성 할 수 있음을 의미합니다.

GetSystemTimeAsFileTime은 씨앗이 GeneratePassword 메소드에 제공되지 않은 경우에만 씨앗으로 사용됩니다. 사용자가 새 비밀번호를 요청할 때이 메소드라고 불리는 방법? 정답은:

std::끈 pwlib::GeneratePassword(pwdlib::정책 정책))  반품 GeneratePassword(정책, 시간(0)); > 

따라서 모든 암호를 생성하는 데 사용되는 종자는 현재 시스템 시간입니다. 그것은 세계의 Kaspersky Password Manager의 모든 인스턴스가 주어진 순간에 정확히 동일한 암호를 생성한다는 것을 의미합니다. 매번 클릭하면 “생성하다” 암호 생성기 인터페이스에서 버튼은 동일한 비밀번호를 생성했습니다. 그러나 어떤 이유로 든 암호 생성은 애니메이션입니다. 실제 암호가 이미 계산 된 반면 수십 개의 임의의 숯이 표시됩니다

이 애니메이션은 1 초 이상이 걸리므로 여러 번 클릭 할 수 없습니다 “생성하다” 1 초 안에 버튼. 그것이 분명히 약점이 전에 발견되지 않은 이유입니다.

결과는 분명히 나쁘다 : 모든 비밀번호는 무차별 적으로 제공 될 수 있습니다. 예를 들어, 2010 년에서 2021 년 사이에 315619200 초가 있으므로 KPM은 주어진 숯불에 대해 최대 315619200 암호를 생성 할 수 있습니다. 그들에게 무차별하는 데 몇 분이 걸립니다.

웹 사이트 나 포럼이 계정 생성 시간을 표시하는 것이 일반적입니다. 계정의 생성 날짜를 알면 공격자는 작은 비밀번호 (~ 100)로 계정 비밀번호를 크게 강화하려고 시도하고 액세스 할 수 있습니다.

또한 해시 암호가 포함 된 유출 된 데이터베이스의 비밀번호, 암호화 된 아카이브의 암호, Truecrypt/Veracrypt 볼륨 등. Kaspersky Password Manager를 사용하여 생성 된 경우 쉽게 검색 할 수 있습니다.

예기치 않은 엔트로피 소스 : 바운드 외 읽기

우리는 무언가를 놓치지 않았는지 확인하기 위해 개념 증명을 썼습니다. 현재 시간에서 1000 개의 가능한 비밀번호 목록을 생성합니다. POC를 테스트하려면 :

제공된 POC (pwlib.CPP). 파일은 Visual C ++로 컴파일되어야합니다 (소스 코드의 플로팅 값은 Clang 또는 GCC로 컴파일 할 때 똑같은 값이 아닙니다). 테스트에 Visual C ++ 2017을 사용했습니다. Visual C ++ 32 비트에 명령 초대를 사용하여 다음을 입력하십시오

 CMAKE -BBUILD -H. MSBuild 빌드 \ pwbrute.vcxproj 

 디버그 \ pwbrute.exe> 패스.txt 

• 소문자 만
• 12 숯

그것은 완전히 기능적이지는 않지만, 이전에 생성 된 숯을 아는 주어진 문자의 출현 확률을 계산하는 기능에서 암호 생성 프로세스에서 버그를 발견 할 수있었습니다. GetContextProbabilities 방법에 대한 의사 코드는 다음과 같습니다

 Const 뜨다 *getContextProbabilities(Const std::끈 &이었다비밀번호))  std::끈 LowerCasePassword; // 소문자로 변환하고 소문자 만 유지하십시오 ~을 위한 (숯 씨 : 비밀번호))  만약에 (ISLOWER(씨)))  LowerCasePassword += 씨; > 또 다른 만약에 (Isupper(씨)))  LowerCasePassword += 숯(씨 - 'ㅏ' + 'ㅏ'); > > . int N = 0; ~을 위한 (int 나 = LowerCasePassword.길이() - 1; 나 > = 0; 나--))  int 색인 = 비밀번호[의 뜻나]] - 'ㅏ'; // fixme : lowercasepassword로 교체하십시오 

구축중인 암호는 소문자로 변환됩니다. 비자 레터가 제거됩니다. 그런 다음 반복이 있습니다 비밀번호 방금 생성 된 소문자 비밀번호 대신. 이것은 인덱스 변수의 잘못된 계산으로 이어집니다 (알파벳에서 문자의 위치). 이 색인은 배열의 요소를 검색하는 데 사용됩니다. 이 배열은이 배열을 읽지 않습니다.

그런 다음 외관 빈도는 비 초기화 또는 임의의 데이터로부터 계산됩니다. 알고리즘이 잘못되었지만 실제로 암호를 크게 강화하기가 더 어려워집니다.

공격 된 POC는 소문자 암호에 대한 후보를 생성하여 인덱스가 항상 올바르게 계산되도록합니다 (그렇지 않으면 POC는 적응해야 함).

치료

Kaspersky는이 취약점에 CVE-2020-27020을 할당하고 웹 페이지에 보안 자문을 게시했습니다 : https : // support.카스퍼 스키.com/일반/취약성.ASPX?EL = 12430#270421.

이 버전 이전의 모든 버전은 다음과 같습니다

• Windows 9의 카스퍼 스키 비밀번호 관리자.0.2 패치 f
• Android 9의 카스퍼 스키 비밀번호 관리자.2.14.872
• iOS 9 용 카스퍼 스키 비밀번호 관리자.2.14.31

Windows에서 Mersenne Twister PRNG는 Bcryptgenrandom 기능으로 대체되었습니다

뜨다 랜덤 플로트(bcrypt_alg_handle *halgorithm))  UINT32_T 엘; Bcryptgenrandom(*halgorithm, (UINT8_T *))&이었다엘, 크기(엘)), 0); 반품 (뜨다))엘 * (1.0에프 / 0x100000000); > 

이 기능의 반환 값은 Kaspersky가 제공 한 베타 버전에서 확인되지 않았지만 지금은 이것이 수정되었다고 생각합니다.

수학.웹 버전의 random ()가 보안 창으로 대체되었습니다.암호화.getRandomValues ​​() 메소드.

Android 및 iOS 버전도 패치되었지만 수정 사항을 보지 않았습니다.

결론

Kaspersky Password Manager는 복잡한 방법을 사용하여 암호를 생성했습니다. 이 방법은 표준 비밀번호 크래커를 위해 헤어지기 어려운 비밀번호를 만드는 것을 목표로했습니다. 그러나 이러한 방법은 전용 도구에 대한 생성 된 암호의 강도를 낮추는 데. 우리는 예를 들어 보안 암호를 생성하는 방법을 보여주었습니다 “모듈로 바이어스” 주어진 범위의 숯으로부터 편지를 들여다 보면서.

우리는 또한 카스퍼 스키를 연구했습니다’s prng, 그리고 그것이 매우 약한 것을 보여 주었다. 부스트 라이브러리에서 가져온 Mersenne 트위스터 인 내부 구조는 암호화 자료를 생성하는 데 적합하지 않습니다. 그러나 주요 결함은이 PRNG가 현재 시간으로 몇 초 만에 시드되었다는 것입니다. 즉, 취약한 KPM 버전으로 생성 된 모든 비밀번호는 몇 분 안에 크게 강화 될 수 있습니다 (또는 대략 생성 시간을 아는 경우 1 초 만에).

마지막으로, 우리는 KPM에서 사용하는 전체 세대 방법을 자세히 설명하는 개념 증명을 제공했습니다. Kaspersky Password Manager의 Windows 버전에 결함이 실제로 있는지 확인하는 데 사용될 수 있습니다 < 9.0.2 Patch F. Incidentally, writing this PoC allowed us to spot an out of bounds read during the computation of the frequency of appearance of password chars, which makes passwords a bit stronger that they should have been.

타임 라인

• 2019 년 6 월 15 일 : Hackerone을 통해 Kasperky에게 보낸 보고서 및 개념 증명.
• 2019 년 6 월 17 일 : 카스퍼 스키는 보고서를 받았음을 인정합니다.
• 2019 년 6 월 25 일 : 카스퍼 스키는 취약점을 확인합니다.
• 2019 년 10 월 4 일 : Kaspersky는 개인 Windows 빌드를 보내 버그가 수정되었는지 확인하고 연말 전에 이전에 생성 된 암호를 처리 할 수있는 솔루션을 출시 할 것이라고 알려줍니다.
• 2019 년 10 월 8 일 : 취약점이 수정되었음을 확인했지만 수정에 새로운 작은 결함이보고되었습니다.
• 2019 년 10 월 10 일 : Windows 9 용 카스퍼 스키 비밀번호 관리자.0.2 패치 D가 해제되어 취약점을 고정하지만보고 된 결함에 대한 수정이 없습니다. 웹 버전도 업데이트됩니다.
• 2019 년 10 월 9 일 : Android 버전 9 용 Kaspersky 비밀번호 관리자.2.14.수정 사항이있는 872가 릴리스되었습니다.
• 2019 년 10 월 10 일 : iOS 버전 9 용 카스퍼 스키 비밀번호 관리자.2.14.수정 사항이 릴리스됩니다.
• 2019 년 12 월 10 일 : Windows 9 용 카스퍼 스키 비밀번호 관리자.0.2 패치 F가 해제되어 패치 D의 결함을 닫습니다.
• 2020 년 4 월 9 일 : 카스퍼 스키는 10 월에 이전에 생성 된 비밀번호를 처리하기 위해 패치를 출시 할 것이라고 알려줍니다.
• 2020 년 10 월 13 일 : 카스퍼 스키 비밀번호 관리자 9.0.2 패치 M이 릴리스되어 사용자에게 알림을 통해 일부 비밀번호를 다시 생성해야합니다. Kaspersky는 2021 년 1 분기 동안 모바일 버전으로 동일한 알림도 제공 될 것이라고 알려줍니다. CVE-2020-27020도 예약되었습니다.
• 2020 년 12 월 28 일 : 카스퍼 스키.
• 2021 년 4 월 27 일 : Kaspersky Security Advisory가 게시되었습니다.
• 2021 년 5 월 14 일 : CVE-2020-27020에 대한 정보가 게시되었습니다.

장-바치 스테 베드 룬

보안 연구 책임자

카스퍼 스키에는 비밀번호 생성기가 있습니까??

데이터의 보안은 크게 비밀번호의 강점에 달려 있습니다. 비밀번호는 대문자와 소문자 라틴어 문자, 자릿수 및 특수 문자를 포함하여 16 자 이상이 포함 된 경우 강력한 것으로 간주됩니다. Kaspersky Password Manager는 고유하고 강력한 암호를 생성합니다. 비밀번호 길이를 지정하고 숫자, 문자 및 특수 문자를 포함할지 여부를 선택할 수 있습니다. 새 웹 사이트 계정을 만들거나 기존 계정의 비밀번호를 변경할 때 비밀번호 생성기를 사용할 수 있습니다.

1. 다음 방법 중 하나로 암호 생성기 창을 엽니 다
   • 기본 응용 프로그램 창에서 비밀번호 생성기를 클릭하십시오 .
   • 브라우저 창에서 응용 프로그램 아이콘을 클릭하십시오 → 비밀번호 생성기 아이콘 .
   • 웹 사이트의 비밀번호 필드에서 필드 위로 호버링하거나 키 아이콘을 클릭하십시오 비밀번호 생성기 창을 호출하려면.

비밀번호 생성기 창이 열리고 응용 프로그램은 기본 설정을 사용하여 암호를 생성합니다.

필요한 경우 비밀번호 매개 변수를 변경하고 Circle Arrows 버튼을 누릅니다 비밀번호를 생성합니다. 응용 프로그램은 비밀번호 강도가 중간인지 또는 낮은지를 나타냅니다.

비밀번호 생성 매개 변수를 저장하려면 설정 탭에서 사용자 정의 옵션을 선택하고 필요한 매개 변수를 지정하십시오. 탭을 전환하거나 창을 닫더라도 매개 변수가 저장됩니다.

딸깍 하는 소리 .

응용 프로그램은 생성 된 비밀번호를 클립 보드에 복사합니다. 비밀번호를 필요한 필드에 수동으로 붙여 넣을 수 있습니다. 비밀번호 생성기를 사용하여 새 웹 사이트 계정을 만들거나 기존 계정에 대한 비밀번호를 변경하는 경우 응용 프로그램은 비밀번호를 필요한 필드에 자동으로 파악합니다.

또한 새 웹 사이트, 앱 또는 기타를 추가하면서 강력하고 고유 한 암호를 생성 할 수 있습니다 .

1. 기본 응용 프로그램 창에서 추가를 클릭하고 계정을 클릭하고 웹 사이트, 앱 또는 기타를 선택합니다 . 입력 창이 열립니다.
2. 비밀번호 필드에서 생성을 클릭하십시오 . 비밀번호 생성기 창이 열리고 응용 프로그램은 기본 설정을 사용하여 암호를 생성합니다.
3. 필요한 경우 비밀번호 생성 매개 변수를 지정하십시오.
4. 딸깍 하는 소리 . 응용 프로그램은 비밀번호를 자동으로 필수 필드로 붙여 넣습니다.

Kaspersky Password Manager는 클립 보드에 복사 된 마지막 5 개의 암호를 저장합니다. 비밀번호 생성기 기록에서 복사 된 비밀번호를 볼 수 있습니다. 애플리케이션은 컴퓨터에 암호를 복사하고 장치에서 동기화하지 않습니다.

금고가 잠금 해제되면 비밀번호 생성기를 사용할 수 있습니다.

1. 비밀번호 생성기 창을 엽니 다.
2. 암호 이력 탭을 클릭하십시오. 가장 최근에 복사 한 암호 목록이 열립니다.
3. 암호를 클립 보드에 복사하려면 비밀번호 옆의 복사 버튼을 클릭하십시오. 암호는 클립 보드에 복사됩니다.
4. 비밀번호 생성기 이력을 지우려면 모든 것을 클릭하십시오 . 복사 된 비밀번호는 기록에서 삭제됩니다.

카스퍼 스키에는 비밀번호 생성기가 있습니까??

데이터의 보안은 크게 비밀번호의 강점에 달려 있습니다. 비밀번호는 대문자와 소문자 라틴어 문자, 자릿수 및 특수 문자를 포함하여 8 자 이상이 포함 된 경우 강한 것으로 간주됩니다. Kaspersky Password Manager는 고유하고 강력한 암호를 생성합니다. 비밀번호 길이를 지정하고 숫자와 특수 문자를 포함할지 여부를 선택할 수 있습니다. 새 웹 사이트 계정을 만들거나 기존 계정의 비밀번호를 변경할 때 비밀번호 생성기를 사용할 수 있습니다.

1. 기본 비밀번호를 입력하고 잠금 해제를 탭하여 금고 잠금 해제 . 장치가 앱 설정에서 Touch ID/Face ID를 지원하고 T.
2. 하단 탭 막대에서 프로파일을 누릅니다 . iPad에서는 빠른 액세스 바가 항상 화면 왼쪽에 표시됩니다.
3. 빠른 액세스 표시 줄에서 비밀번호 생성기를 누릅니다 . 비밀번호 생성기 창이 열리고 앱은 기본 매개 변수를 사용하여 암호를 생성합니다.
4. 필요한 경우 비밀번호 매개 변수를 변경하십시오
   • 비밀번호 길이를 탭하여 비밀번호를 생성 할 때 사용할 문자 수를 지정합니다.
   • 비밀번호 생성 중에 대문자를 사용하거나 사용하지 않으려면 대문자 (A – Z)를 켜거나 끄십시오. 기본적 으로이 토글 스위치가 켜집니다.
   • 비밀번호 생성 중 소문자를 사용하거나 사용하지 않으려면 소문자 (A – Z)를 켜거나 끄십시오. 기본적 으로이 토글 스위치가 켜집니다.
   • 비밀번호 생성 중에 숫자를 사용하거나 사용하지 않으려면 숫자 숫자 (0–9)를 켜십시오. 기본적 으로이 토글 스위치가 켜집니다.
   • 비밀번호 생성 중에 특수 문자를 사용하거나 사용하지 않는 특수 문자 켜기/끄기. 기본적 으로이 토글 스위치가 켜집니다. 토글 스위치 아래 필드에서 비밀번호 생성 중에 사용되는 특수 문자를 추가하거나 삭제할 수 있습니다.

편의를 위해 비밀번호 생성에서 다음과 유사한 기호를 제외했습니다 : 0 (Zero), O (Capital O), I (Capital I) 및 L (Small L).

앱은 매개 변수가 변경되면 새 암호를 자동으로 생성합니다. 생성 된 암호의 강도가 중간 정도 또는 낮은 경우 Kaspersky Password Manager는 비밀번호 아래에 귀하에게 알립니다. 선택한 매개 변수를 사용하여 암호를 다시 생성하려면 탭합니다.

앱은 생성 된 비밀번호를 클립 보드에 복사합니다. 비밀번호를 필요한 필드에 수동으로 붙여 넣을 수 있습니다. 비밀번호 생성기 창을 닫으면 앱은 금고가 잠금 해제 될 때까지 선택한 비밀번호 매개 변수를 저장합니다.

비밀번호를 빠르게 생성하고 클립 보드에 복사하려면 장치의 홈 화면에서 비밀번호 위젯을 사용할 수도 있습니다. Apple Support 웹 사이트에서 위젯 추가에 대한 자세한 내용을 찾으십시오.

비밀번호 관리자

Kaspersky Password Manager. 암호 및 기타 데이터를 웹 사이트에 입력하는 프로세스를 완전히 자동화하고 사용자가 여러 암호를 작성하고 기억하는 데 어려움을 겪게됩니다.

Kaspersky Password Manager를 사용하여 로그인하면 데이터가 안전하다는 것을 안심할 수 있습니다. 소프트웨어는 매우 강력한 암호를 생성하고 로그인 정보가 도난당하는 것을 방지합니다. 모든 기밀 데이터는 암호화되어 컴퓨터의 전용 데이터베이스에 보관됩니다.

Kaspersky Password Manager는 웹 경험을보다 안전하고 빠르며 편리하게 만듭니다.

최신 버전

이익

마우스 한 번만 클릭하면 웹 사이트 및 응용 프로그램에 액세스 할 수 있습니다
컴퓨터에 암호화 된 데이터베이스에 비밀번호를 저장하면 각 계정에 강력하고 고유 한 비밀번호를 만듭니다
플래시 드라이브에서로드하고 다른 컴퓨터에서 실행할 수있는 모바일 버전이 포함되어 있습니다
당신을 위해 긴 형태를 자동으로 채 웁니다

주요 특징들

• 마우스의 한 번의 클릭으로 로그인합니다
  Kaspersky Password Manager는 사용자 이름과 관련 암호를 기억하여 사이트로 돌아갈 때 로그인 데이터를 자동으로 제공합니다. Kaspersky Password Manager는 인증이 필요한 응용 프로그램과도 작동합니다.
• 비밀번호에 대한 안정적인 보호
  Kaspersky Password Manager는 귀하의 암호 및 개인 데이터를 컴퓨터에 전용 암호화 데이터베이스에 안전하게 저장합니다. 저장된 비밀번호는 마스터 비밀번호 또는 사용자가 정의한 다른 인증 방법을 사용 하여만 해독 할 수 있습니다. 이렇게하면 귀하의 비밀번호가 안전하고 범죄자가 훔치는 것을 방지합니다.
• 다양한 인증 방법을 지원합니다
  Kaspersky Password Manager. 휴대 전화를 사용할 수도 있습니다. 암호는 블루투스를 통해 휴대폰이 컴퓨터에 연결될 때만 사용할 수 있도록 비밀번호를 구성 할 수 있습니다. 컴퓨터를 떠나 휴대 전화를 사용하면 데이터베이스가 자동으로 잠금됩니다.
• 강력한 암호 생성
  데이터의 보안은 암호가 얼마나 강한 지 직접적으로 달라집니다. 사용자는 종종 여러 계정에 대해 유사하거나 동일한 암호를 가지고 있습니다. 단일 비밀번호를 크래킹하면 사이버 범죄자가 많은 계정에 쉽게 액세스 할 수 있습니다. Kaspersky Password Manager에 통합 된 비밀번호 생성기는 크랙하기가 매우 어려운 강력한 비밀번호를 만듭니다.
• 다른 운영 체제 및 응용 프로그램에서 비밀번호를 가져옵니다
  Internet Explorer 또는 Mozilla Firefox를 사용하면 암호는 보호되지 않은 형식으로 저장되며 사이버 범죄자가 쉽게 액세스 할 수 있습니다. Kaspersky Password Manager는 이러한 보호되지 않은 암호를 찾아 암호화 된 암호 데이터베이스로 가져 오는 데 도움이됩니다.
• 모바일 버전
  카스퍼 스키 비밀번호 관리자&rsquo;S 모바일 버전은 물건을 설치하지 않고 컴퓨터에서 작업하는 동안 암호에 대한 액세스를 제공합니다. 모바일 버전은 플래시 드라이브를 포함한 다양한 유형의 모바일 장치에서 시작할 수 있습니다. 장치가 제거되면 Kaspersky Password Manager는 암호 데이터베이스를 자동으로 잠그고 호스트 시스템에서 암호 데이터의 트레이스를 제거합니다.
• 긴 형태를 자동으로 완료합니다
  웹 사이트 양식은 종종 사용자 이름 및 비밀번호보다 개인 정보를 입력해야합니다. 이러한 추가 데이터는 다음이 포함될 수 있습니다 : 전체 이름, 생년월일, 성별, 이메일 주소, 전화 번호, 거주 국가 등. Kaspersky Password Manager는 미리 제공하는 정보를 사용하여 이러한 종류의 양식을 자동으로 작성할 수 있습니다. 여러 ID 카드를 사용하여 비즈니스 관련 및 개인 정보를 별도로 저장할 수 있습니다.
• 단일 계정 제공 업체의 여러 사용자 이름
  때로는 여러 암호가 단일 웹 사이트에 저장되어야합니다. 예를 들어, 단일 메일 서비스 제공 업체에 등록 된 여러 목적을 가진 여러 사서함이있을 수 있습니다. Kaspersky Password Manager는 단일 제공 업체의 여러 사용자 이름을 저장하고 로그인 할 때 어떤 사용자 이름을 사용할 것인지 확인할 수 있습니다.
• 자동 백업
  Kaspersky Password Manager는 수정 될 때마다 컴퓨터에서 비밀번호 데이터베이스의 백업 사본을 자동으로 생성합니다. 현재 데이터베이스가 실수로 손상되었거나 이전 버전으로 롤백하려면 암호를 쉽게 복원 할 수 있습니다.
• 키로거에 대한 효과적인 보호
  Keylogger는 피해자의 키 스트로크를 추적하는 악의적 인 프로그램입니다&rsquo;s 컴퓨터는 사용자를 불법적으로 캡처합니다&rsquo;비밀번호와 같은 개인 데이터. Kaspersky Password Manager는 실제로 키보드를 사용하지 않고 암호를 입력하고 Keyloggers로부터 개인 데이터를 효과적으로 보호합니다.
• 피싱 공격으로부터 보호
  피싱. 가짜 사이트는 원래 사이트와 동일하게 보이며 무의식적 인 사용자는 결과적으로 개인 데이터를 제공합니다. 카스퍼 스키 비밀번호 관리자.

시스템 요구 사항

새로운 운영 체제의 베타 버전 또는 미리보기에 대한 지원을 제공하지 않습니다.g. 윈도우 8.1 미리보기. 최종 공식 릴리스 만 지원됩니다.

• Microsoft Windows XP 홈 에디션
• Microsoft Windows XP Professional
• Microsoft Windows XP Professional X64 Edition
• Microsoft Windows Vista Home Basic (32/64 비트)
• Microsoft Windows Vista Home Premium (32/64 비트)
• Microsoft Windows Vista 비즈니스 (32/64 비트)
• Microsoft Windows Vista Enterprise (32/64 비트)
• Microsoft Windows Vista Ultimate (32/64 비트)
• Microsoft Windows 7 홈 프리미엄 (32/64 비트)
• Microsoft Windows 7 Professional (32/64 비트)
• Microsoft Windows 7 Ultimate (32/64 비트)
• Windows 8 (32/64 비트)
• Windows 8 Pro (32/64 비트)
• Windows 8 Enterprise (32/64 비트)

• 최소 512MB 사용 가능한 RAM
  하드 드라이브의 10MB 여유 공간
  컴퓨터 마우스

• Microsoft Internet Explorer 6.0-10.0
• 모질라 파이어 폭스 2.x -25.엑스
• Google 크롬 6.0-30.0
• 맥스톤 2.5.엑스
• 무리 2.х
• Seamonkey 2.0.8-2.22
• Yandex 1.5

Kaspersky Password Manager는 나쁜 비밀번호를 생성하고 있습니다

Kaspersky Password Manager의 임의 번호 생성기는 거의 무작위가 아닙니다. 이유는 다음과 같습니다.

Adam Rowe에 의해 작성되었습니다

2021 년 7 월 7 일에 출판

무작위로 생성 된 비밀번호가 무작위로 생성되었다고 가정하여 용서받을 수 있습니다. 2 년 미만의 카스퍼 스키 비밀번호 관리자의 경우는 정확히 그렇지 않았습니다.

Cybersecurity Company의 비밀번호 관리자는 특히 눈부신 결함이있는 내장 자동 발전기를 사용하고 있습니다. 그들은 패치를했지만 모든 Kaspersky Password Manager 사용자 사용자는 이전에 생성 된 암호를 최대한 빨리 변경해야합니다.

여기에 잘못된 것이 있습니다.

결함

비밀번호 생성기는 세트를 따라 암호를 만들기 위해 작동합니다 &ldquo;정책,&rdquo; 비밀번호 길이, 대문자, 소문자, 숫자 및 특수 문자 사용자 정의 세트가 포함 된 설정. 사용자 정의 할 수 있지만 기본 정책은 12 자 암호입니다.

이미 비밀번호 관리자를 사용하고 있습니까??

그래서 문제는 무엇입니까?? 글쎄, 임의의 숫자 생성기는 하나 이상의 엔트로피 소스가 필요합니다. 결과가 무작위로 유지되는 불확실성 요소. 그러나 카스퍼 스키가 시작했던 씨앗은 현재의 현재 시스템 시간이었습니다. 예, 시간, 가장 예측 가능하고 비 랜덤 메트릭 중 하나입니다.

Jean-Baptiste Bédrune의 보안 연구 책임자 인 Ledger Donjon이 블로그 게시물에서 설명한 방법은 다음과 같습니다

&ldquo;따라서 모든 암호를 생성하는 데 사용되는 종자는 현재 시스템 시간입니다. 그것은 세계의 Kaspersky Password Manager의 모든 인스턴스가 주어진 순간에 정확히 동일한 암호를 생성한다는 것을 의미합니다. 매번 클릭하면 &lsquo;생성 '버튼, 암호 생성기 인터페이스에서 동일한 비밀번호를 생성했습니다.&rdquo;

사람들이 같은 두 번째로 생성 된 모든 암호가 정확히 동일하다는 것을 알지 못하는 이유는 인터페이스에 1 초 안에 애니메이션이있어서 같은 초에 두 개의 암호를 생성 할 수 없도록하기 때문입니다.

그러나 그것은 큰 결함입니다. 트릭을 알고있는 모든 해커는 모든 암호를 강제로 강요 할 수 있습니다. 하루의 몇 초가 유한하며 해커는 단 몇 분 안에 2010 년과 2021 년 사이에 10 년 사이에 315,619,200 개의 암호를 모두 실행할 수 있습니다.

그리고 온라인 계정에 생성 된 날짜가 공개적으로 표시되면 해커는 카스퍼 스키 비밀번호를 크래킹하기 전에 더 적은 비밀번호를 실행해야합니다.

보안 비밀번호가 필수적입니다

카스퍼 스키는이 문제에 대해 경고를 받았으며 수정 사항을 출시했습니다. 그러나 취약한 버전의 소프트웨어에 의해 이미 생성 된 모든 암호는 여전히 쉽게 갈라질 수 있습니다.

Kaspersky의 비밀번호 관리자를 사용하는 경우 지금 비밀번호를 변경하십시오. 온라인 활동을 비공개로 유지하는 암호 관리자 시장에 있다면 여기에서 모든 최고 옵션을 깊이 검토했습니다. 무작위 번호 생성기를 쉽게 갈라진 알고리즘에 묶는 데 어려움을 겪지 않았습니다.