所以有什么问题? 好吧,任何随机数生成器都需要一个或多个熵源——确保结果保持随机的不确定性元素。 但卡巴斯基启动的种子是当前系统时间(以秒为单位)。 是的,时间,是最可预测和非随机的指标之一。
Jean-Baptiste Bédrune 安全研究主管 Ledger Donjon 在一篇博文:
“因此,用于生成每个密码的种子是当前系统时间,以秒为单位。这意味着世界上的每个卡巴斯基密码管理器实例都将在给定的秒内生成完全相同的密码。如果每次点击密码生成器界面中的“生成”按钮都会生成相同的密码,那么这一点就很容易发现。”
人们之所以没有注意到同一秒内生成的每个密码都是完全相同的,是因为界面有一个播放一秒的动画,确保没有人可以在同一秒内生成两个密码。
但这是一个很大的缺陷。 任何知道这个技巧的黑客都可以暴力破解任何密码:一天中的秒数是有限的,黑客可以在短短几分钟内破解与 2010 年至 2021 年十年间的秒数相关的所有 315,619,200 个密码。
而且,如果在线帐户公开显示其创建日期,黑客在破解卡巴斯基密码之前将需要运行更少的潜在密码。
安全密码至关重要
卡巴斯基已收到有关此问题的警报,并已推出修复程序。 但该软件的易受攻击版本生成的每个密码仍然很容易被破解——对于每个专门使用该服务来确保其密码无法被破解的人来说,这都是一场噩梦。
如果您使用卡巴斯基的密码管理器,请立即更改密码。 如果您正在市场上寻找一款可以保护您的在线活动私密性的密码管理器,我们已经在这里深入审查了所有顶级选项- 没有一个将随机数生成器与易于破解的算法联系起来而遇到麻烦。
