Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

Passwort-Manager Sicherheit – Kaspersky erstellt schwache Passwörter!

M.Sc. Jan Hörnemann

Passwort-Manager Sicherheit ist ein interessantes und wichtiges Thema, auf das wir im Rahmen von Live Hacking Shows und anderen Sensibilisierungsmaßnahmen häufig angesprochen werden. Ein aktueller Bericht zeigt, dass vor allem eine schlecht implementierte Passwort-Erstellung einige Sicherheitslücken aufweist.

Passwort-Manager Sicherheit – Angreifbar durch schwache Passwörter

Das internationale Cybersicherheitsunternehmen Kaspersky stellt neben Anti-Viren-Software auch Passwort-Manager auf den Plattformen Windows, Android und iOS zur Verfügung. Forscher konnten in diesen Passwort-Manager, auf allen drei Plattformen gravierende Sicherheitslücken feststellen, die die Passwort-Erstellung betreffen.

Passwort-Manager sind äußerst nützlich, um komplizierte und unterschiedliche Passwörter auf verschiedenen Plattformen zu verwenden. Besonders praktisch ist es hierbei, wenn der Passwort-Manager selbst gute Passwörter erstellt, die wir als Nutzer einfach verwenden können und uns somit nicht selbst ein Passwort ausdenken müssen. Die Funktion der Passwort-Erstellung nutzen nahezu alle bekannten Passwort-Manager, darunter auch Kaspersky.

Die Passwort-Manager Sicherheit ist bei Kaspersky stark beeinträchtigt, dadurch das die zufällig erstellten Passwörter gar nicht so zufällig sind, wie zunächst angenommen. Bereits am Ende von 2019 hat Kaspersky diese Sicherheitslücke bereits beseitigt, doch wer vor diesem Zeitpunkt Passwörter verwendet hat, die von dem Passwort-Manager von Kaspersky erstellt worden sind ist nach wie vor angreifbar.

Laut einem Artikel im Ledger-Blog wurden die Nutzer erst im Oktober 2020 aufgefordert die schwachen Passwörter zu ändern. Dadurch hat ein Großteil der Nutzer schwache Passwörter verwendet und zwar für etwa ein ganzes Jahr.


Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!


Zufall ist nicht gleich Zufall

Eine wirkliche Zufallszahl zu erstellen ist eine große Herausforderung im Bereich der Informatik. Häufig verwendete Methoden, um eine möglichst „zufällige“ Zufallszahl zu nehmen sind die Verwendung der genauen Uhrzeit und des Datums, oder auch Hashwerte von gewissen Dateien. Das Problem bleibt dabei, dass diese Zufallszahlen mit einer anderen Zahl produziert werden, die sich womöglich wiederholt.

Kaspersky verwendete die aktuelle Uhrzeit in Sekunden, um ein möglichst zufälliges Passwort zu erstellen. Durch diese schwache Implementierung haben alle Nutzer die zu der exakt gleichen Uhrzeit ein zufälliges Passwort generiert haben lassen, dass gleiche Passwort vorgeschlagen bekommen. In dem Artikel von Ledger wurde vorgerechnet, dass etwa 315619200 Sekunden zwischen 2010 und 2021 vergangen sind. Diese zunächst groß aussehende Zahl und somit unterschiedlichen Passwörter könnten mit modernen Computern innerhalb weniger Minuten durchprobiert werden.

Eine Stellungnahme der Firma Kaspersky ist zum aktuellen Zeitpunkt noch nicht verfügbar, daher bleibt abzuwarten wie das Cybersicherheitsunternehmen darauf reagiert. Denn die Passwort-Manager Sicherheit mit solch einer offensichtlich falsch konzipierten Passwort-Erstellung auszustatten ist für ein Unternehmen aus der IT-Sicherheit äußerst fragwürdig.


Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.


Foto des Autors

M.Sc. Jan Hörnemann

Hallo liebe/r Leser/in, mein Name ist Jan Hörnemann. Ich bin TeleTrust Information Security Professional (T.I.S.P.) und beschäftigte mich seit 2016 nahezu tagtäglich mit Themen rund um die Informationssicherheit. Der CeHv10 war meine erste praktische Zertifizierung in dem Bereich. Durch den Abschluss Master of Science in dem Fachbereich Internet-Sicherheit habe ich viele verschiedene Aspekte kennengelernt und versuche diese sowohl in Live Hacking Shows als auch in unserem Blog zu vermitteln. Darüber hinaus bin ich als Informationssicherheitsbeauftragter tätig und vom TÜV für diese Tätigkeit qualifiziert worden (ISB nach ISO 27001)