Eigentlich solltest du als Kund:in einer Sicherheitsfirma wie Kaspersky davon ausgehen können, dass ihre Produkte ausreichend abgesichert sind. Beim Kaspersky Passwort Manager war die allerdings nicht der Fall. Experte enttarnt Sicherheitslücke in Passwort-Manager Passwort Manager sind hervorragende Tools, die dafür sorgen, dass du im Internet sicher unterwegs bist. Doch was, wenn die Software an sich nicht sicher genug ist?
Kaspersky Passwort Manager weist Schwächen auf
Wenn du den Kaspersky Passwort Manager verwendest, dürfte es dich mit Sicherheit ärgern zu hören, dass die Software mehrere Jahre lang über einen Softwarefehler verfügte, der deine Passwörter angreifbar gemacht hat.
Das fand der Sicherheitsforscher Jean-Baptiste Bédrune bei einer Untersuchung für die Cybersecutiry-Firma Ledger heraus. In einem Blogeintrag teilte er seine Erkenntnisse.
Die Lösung wird zum Problem
Um deine Passwörter weniger angreifbar und stärker zu machen, setzte man beim Kaspersky Passwort Manager verstärkt auf Buchstaben, die in Passwörtern nicht so häufig vorkommen. Also beispielsweise X,Y oder Z statt Vokalen wie A,E,I,O oder U).
So sollten Hacker abgehalten werden, die mit dem Brute-Force-Ansatz arbeiten. Das bedeutet, dass sie in kürzester Zeit viele verschiedene Passwörter ausprobieren, um irgendwann auch die richtige Kombination zu stoßen. Doch während die Methode diesen Zweck hervorragend erfüllte, so öffnete sie laut dem Sicherheitsforscher eine neue Schwachstelle.
Wenn nämlich ein Tool speziell auf das Knacken des Kaspersky Passwort Managers ausgelegt war, konnte es mit diesen Informationen konfiguriert werden. Demnach hatte es entsprechend leichteres Spiel bei der Entschlüsselung der Passwörter.
Zufallsgenerator legt weltweit dasselbe Passwort fest
Die eigentliche Sicherheitslücke bestand allerdings darin, dass der Passwort-Manager einen Zufallszahlengenerator auf Grundlage der aktuellen Systemzeit verwendete. Ein schwerer Fehler, wie Bédrune bemängelt. Durch diese Methode würde der Passwort-Manager in einer bestimmten Sekunde auf der ganzen Welt dasselbe Kennwort generieren. Mit dem Brute-Force-Ansatz wäre es dann theoretisch innerhalb weniger Minuten möglich, die entsprechenden Kennwörter zu generieren.
Wie Winfuture berichtet, wurde Kaspersky bereits 2019 über den Fehler informiert, doch reagierte nur sehr langsam. Mittlerweile ist die Sicherheitslücke allerdings behoben.
Neben dem Kaspersky Passwort Manager gibt es noch weitere gute Alternativen für Passwort Manager, von denen wir dir drei hier vorstellen. Wie sicher ist dein Passwort? Wenn du dir einen neuen Zugangscode ausdenkst, zeigen dir diese Webseiten, wie sicher es ist.
Quelle: Ledger Donjon, ZDNet