安全研究人员显示,卡巴斯基的密码生成器程序(KPM)在2019年更新前曾经会使用当前时间作为依据而生成密码,这导致密码容易被破解。密码生成器并不总是完全随机的,因为在完全随机的序列中,有可能出现弱密码。然而,卡巴斯基没有使用多层逻辑来设定一个强大的密码,而是只使用当前的时间来确定生成的密码。
ZDNet分享了由Ledger Donjon进行的研究,解释了使用这种逻辑来生成密码背后的问题。根据该研究,这意味着世界上每一个卡巴斯基的实例都会在某一秒生成相同的密码。换句话说,试图入侵用户账户的人只需要知道该账户是何时创建的,以及是否使用了卡巴斯基密码管理器,创建的每个密码都可以被轻易破解。
"如果攻击者知道一个人使用KPM,他将能够比完全随机的密码更容易破解他的密码,"Ledger Donjon的首席安全研究员说。"不过,我们的建议是,生成足够长的随机密码,使其强大到无法被工具破解。"
