מנהל הסיסמאות הפופולרי הציע סיסמאות רנדומליות לא כל-כך רנדומליות, שניתנות לפיצוח בשניות

אם השתמשתם ב-Kaspersky Password Manager (או KPM), כדאי שתדעו שמחולל הסיסמאות האקראיות שלו יצר לכם סיסמאות לא כל כך אקראיות

תמונה: Pixabay

דיברנו לא מעט בשנים האחרונות על מנהלי סיסמאות. הקונספט שלהם די חכם: אתם מכניסים לתוך כספת וירטואלית את כל שמות המשתמש והסיסמאות שלכם שמפוזרים ברחבי הרשת (במקום לכתוב אותם בפתק בסמארטפון. כן, אני מדבר אליכם, ההורים של כולנו), וצריכים לזכור רק סיסמת מאסטר אחת במקום את כל שלל האחרות. בנוסף, המנהלים האלו יכולים להציע לכם סיסמאות רנדומליות מורכבות מאוד ולכן גם חזקות מאוד, שאין שום סיכוי שאתם תזכרו, כי אתם פשוט לא תצטרכו לזכור אותן. כעת מתברר שמנהל הסיסמאות של חברת קספרסקי הציע למשתמשים סיסמאות כל כך קשות לפיצוח, שכל מתקפת BruteForce פשוטה הייתה מגלה בקלות.

אותן סיסמאות הונפקו באותו הרגע בכל העולם

לחברת האבטחה קספרסקי יש מנהל סיסמאות פופולרי בשם המאוד מתבקש Kaspersky Password Manager, או KPM בקיצור. במרץ 2019 אותו מנהל סיסמאות קיבל עדכון חשוב שמאפשר לאפליקציה לזהות סיסמאות חלשות ולהציע לכם להחליף אותן בסיסמאות חזקות ורנדומליות. חברת המחקר Donjon בחנה את העדכון הזה, וגילתה שאותן סיסמאות רנדומליות כלל לא היו רנדומליות.

כשאפליקציה תקנית מציעה להנפיק עבורכם סיסמה רנדומלית לחלוטין, כל תו ותו אמור להיות להופיע באקראי בלי שום קשר לתווים האחרים בסיסמה. אין סיסמה שהיא בלתי אפשרית לפיצוח, אבל המטרה של מחוללי סיסמאות תקינים היא להקטין את הסבירות שכלי פיצוח יוכל לנחש את התווים או החלקים הבאים בסיסמה. גם אם כלי כלשהו הצליח לעשות זאת ולפצח את מנגנון הסיסמאות האקראיות, המטרה הנוספת היא שלא תהיה דרך לשחזר את הפלטים הקודמים שלו, ובכך לחשוף סיסמאות שהוא הציע בעבר. רנדומליות היא שם המשחק.

פנקו את הטלגרם שלכם עם ערוץ הטכנולוגיה הגדול בארץ פנקו את הטלגרם שלכם עם ערוץ הטכנולוגיה הגדול בארץ הצטרפו לערוץ גיקטיים בטלגרם

משתמשים שלחצו על כפתור מחולל הסיסמאות צפו באנימציה מגניבה שנתנה תחושה שהמערכת יוצרת את הסיסמה באקראי בזמן אמת, אבל על פי חברת המחקר, KPM השתמש במחולל מספרים פסידו-אקראיים (או PRNG, בקיצור) שבכלל לא מתאים למטרות קריפטוגרפיות. בפועל, במקום ליצור סיסמאות אקראיות לחלוטין, הסיסמה הסופית כבר חושבה מאחורי הקלעים. מנהל הסיסמאות פשוט ניגש לשעון הפנימי של מערכת ההפעלה, והשתמש בו בתור ערך הבסיס לסיסמה.

התוצאה היא, שאם אתם ומישהו בצד השני של העולם לחצתם על כפתור יצירת הסיסמה באותה השניה, קיבלתם את אותה הסיסמה. במילים אחרות, אם תדעו מתי משתמש כלשהו יצר את הסיסמה, תוכלו לשחזר אותה על ידי הזנת אותה שעה.

בחברת המחקר מסבירים שההשלכות של המחדל לכאורה הזה הן רעות במיוחד “יש 315619200 שניות בין 2010 ל-2021, על כן, KPM יכל לייצר עד 315619200 סיסמאות. ניתן לפרוץ אותן באמצעות Bruteforce תוך דקות אחדות”. האנימציה המגניבה של KPM, אגב, ארכה כשניה, כך שלא יכולתם למשל ללחוץ פעמיים על הכפתור ולראות שהסיסמה האקראית נותרה זהה, מה שהיה יכול לחשוף את הבעיה מהר יותר. נזכיר שלמשל בפורומים, ניתן לראות בקלות באיזו שעה יצרתם את החשבון שלכם, ובכך ניתן לפצח את הסיסמה שלכם בשניות במקום בדקות.

חברת המחקר דיווחה כמקובל לקספרסקי על הממצאים בחודש יוני של שנת 2019 ובחודש אוקטובר שוחרר עדכון ראשון לגירסאת ווינדוס. רק בחודש אוקטובר של שנת 2020 קספרסקי טרחה להודיע למשתמשים שהם צריכים להחליף את חלק מהסיסמאות שהם יצרו באמצעות הכלי, ובדצמבר הסכימה לשחרר דיווח על החולשה.

בקספרסקי טוענים כי “הבעיה הייתה קיימת רק במקרה הלא סביר שהתוקף ידע את פרטי החשבון של המשתמש ואת הזמן המדויק שבו הסיסמא שלו הונפקה. כדי שהמתקפה תצליח, המשתמש גם היה צריך להוריד את הגדרות מורכבות הסיסמה שלו”.

המחקר המלא והמאוד מעניין של Donjon זמין לקריאה כאן. עוד קצת הסברים מצוינים ובעברית על אקראיות לצורכי סיסמה, אפשר לקרוא כאן.

עידן בן טובים

נולד עם ג׳ויסטיק ביד. יש לו הרבה יותר מדי גאדג׳טים והרבה פחות מדי זמן פנוי כדי לשחק עם כולם. בעל פטיש לא מוסבר לביצוע קליברציות לסוללות של מכשירים. כשהוא לא עסוק בלכתוב על טכנולוגיה, הוא אוהב לדבר עליה, והרבה

הגב

5 תגובות על "מנהל הסיסמאות הפופולרי הציע סיסמאות רנדומליות לא כל-כך רנדומליות, שניתנות לפיצוח בשניות"

avatar
Photo and Image Files
 
 
 
Audio and Video Files
 
 
 
Other File Types
 
 
 

* היי, אנחנו אוהבים תגובות!
תיקונים, תגובות קוטלות וכמובן תגובות מפרגנות - בכיף.
חופש הביטוי הוא ערך עליון, אבל לא נוכל להשלים עם תגובות שכוללות הסתה, הוצאת דיבה, תגובות שכוללות מידע המפר את תנאי השימוש של Geektime, תגובות שחורגות מהטעם הטוב ותגובות שהן בניגוד לדין. תגובות כאלו יימחקו מייד.

סידור לפי:   חדש | ישן | הכי מדורגים
דוד
Guest

תודה על הקישור למאמר עצמו!

סטארטאפיסט
Guest

בקיצור, איזה מתכנת חביב השתמש ב
password = rand()

יפה.

מיכל
Guest

בקספרסקי טוענים כי “הבעיה הייתה קיימת רק במקרה הלא סביר שהתוקף ידע את פרטי החשבון של המשתמש ואת הזמן המדויק שבו הסיסמא שלו הונפקה. כדי שהמתקפה תצליח, המשתמש גם היה צריך להוריד את הגדרות מורכבות הסיסמה שלו”.

יכלו גם למשל לומר “סליחה, פישלנו, ציפו מאיתנו לסטנדרט יותר גבוה”

בצל כחול
Guest

בדיוק מה שחשבתי….
העדיפו לזרוק תירוצים של ילדים קטנים מאשר לקחת אחריות על הקוד הדפוק שלהם

הייקר
Guest

בפועל, היו צריכים לעשות חרקירי (לסגור את החברה).

wpDiscuz

תגיות לכתבה: