Passwort-Manager Sicherheit ist ein interessantes und wichtiges Thema, auf das wir im Rahmen von Live Hacking Shows und anderen Sensibilisierungsmaßnahmen häufig angesprochen werden. Ein aktueller Bericht zeigt, dass vor allem eine schlecht implementierte Passwort-Erstellung einige Sicherheitslücken aufweist.
Passwort-Manager Sicherheit – Angreifbar durch schwache Passwörter
Das internationale Cybersicherheitsunternehmen Kaspersky stellt neben Anti-Viren-Software auch Passwort-Manager auf den Plattformen Windows, Android und iOS zur Verfügung. Forscher konnten in diesen Passwort-Manager, auf allen drei Plattformen gravierende Sicherheitslücken feststellen, die die Passwort-Erstellung betreffen.
Passwort-Manager sind äußerst nützlich, um komplizierte und unterschiedliche Passwörter auf verschiedenen Plattformen zu verwenden. Besonders praktisch ist es hierbei, wenn der Passwort-Manager selbst gute Passwörter erstellt, die wir als Nutzer einfach verwenden können und uns somit nicht selbst ein Passwort ausdenken müssen. Die Funktion der Passwort-Erstellung nutzen nahezu alle bekannten Passwort-Manager, darunter auch Kaspersky.
Die Passwort-Manager Sicherheit ist bei Kaspersky stark beeinträchtigt, dadurch das die zufällig erstellten Passwörter gar nicht so zufällig sind, wie zunächst angenommen. Bereits am Ende von 2019 hat Kaspersky diese Sicherheitslücke bereits beseitigt, doch wer vor diesem Zeitpunkt Passwörter verwendet hat, die von dem Passwort-Manager von Kaspersky erstellt worden sind ist nach wie vor angreifbar.
Laut einem Artikel im Ledger-Blog wurden die Nutzer erst im Oktober 2020 aufgefordert die schwachen Passwörter zu ändern. Dadurch hat ein Großteil der Nutzer schwache Passwörter verwendet und zwar für etwa ein ganzes Jahr.
Zufall ist nicht gleich Zufall
Eine wirkliche Zufallszahl zu erstellen ist eine große Herausforderung im Bereich der Informatik. Häufig verwendete Methoden, um eine möglichst “zufällige” Zufallszahl zu nehmen sind die Verwendung der genauen Uhrzeit und des Datums, oder auch Hashwerte von gewissen Dateien. Das Problem bleibt dabei, dass diese Zufallszahlen mit einer anderen Zahl produziert werden, die sich womöglich wiederholt.
Kaspersky verwendete die aktuelle Uhrzeit in Sekunden, um ein möglichst zufälliges Passwort zu erstellen. Durch diese schwache Implementierung haben alle Nutzer die zu der exakt gleichen Uhrzeit ein zufälliges Passwort generiert haben lassen, dass gleiche Passwort vorgeschlagen bekommen. In dem Artikel von Ledger wurde vorgerechnet, dass etwa 315619200 Sekunden zwischen 2010 und 2021 vergangen sind. Diese zunächst groß aussehende Zahl und somit unterschiedlichen Passwörter könnten mit modernen Computern innerhalb weniger Minuten durchprobiert werden.
Eine Stellungnahme der Firma Kaspersky ist zum aktuellen Zeitpunkt noch nicht verfügbar, daher bleibt abzuwarten wie das Cybersicherheitsunternehmen darauf reagiert. Denn die Passwort-Manager Sicherheit mit solch einer offensichtlich falsch konzipierten Passwort-Erstellung auszustatten ist für ein Unternehmen aus der IT-Sicherheit äußerst fragwürdig.
