Kaspersky - Passwort-Manager schlägt leicht zu knackende Passwörter vor
Publiziert

KasperskyPasswort-Manager schlägt leicht zu knackende Passwörter vor

Über eine längere Zeit hinweg generierte der Passwort-Manager von Kaspersky für seine Nutzerinnen und Nutzer Passwörter, die leicht zu erraten waren. Obwohl das Problem bekannt war, wurde lange nichts unternommen.

von
Dominique Zeier
1 / 7
Beim Passwort-Manager von Kaspersky ist es zu schwerwiegenden Sicherheitslücken gekommen. 

Beim Passwort-Manager von Kaspersky ist es zu schwerwiegenden Sicherheitslücken gekommen.

Er generierte Passwörter, die leicht zu knacken waren.

Er generierte Passwörter, die leicht zu knacken waren.

Diese konnten von Hackerinnen und Hackern innert Sekunden umgangen werden. 

Diese konnten von Hackerinnen und Hackern innert Sekunden umgangen werden.

Unsplash

Darum gehts

  • Passwort-Manager sollten die Passwörter ihrer Nutzerinnen und Nutzer eigentlich schützen.

  • Im Fall von Kasperskys Passwort Manager war jedoch das Gegenteil der Fall.

  • Der Dienst schlug über Monate hinweg leicht zu knackende Passwörter vor.

  • Das Problem soll mittlerweile behoben sein.

Von einem Passwort-Manager, der einem Passwörter vorschlägt, erwartet man vor allem eines: Dass die Passwörter sicher sind. Wie sich nun zeigt, ist dies aber nicht immer der Fall. Denn Sicherheitsexpertinnen und Sicherheitsexperten von Donjon haben festgestellt, dass die Passwörter, die vom Passwort-Manager Kaspersky vorgeschlagen wurden, einfach zu erraten waren – und dies über Monate hinweg.

Eigentlich hätte natürlich genau das Gegenteil der Fall sein sollen. Denn im März 2019 rollte Kaspersky ein Update für seinen Service aus, mit welchem schwache Passwörter erkannt und durch starke ersetzt werden sollten. Tatsächlich soll dies aber nicht wie vorgesehen funktioniert haben, wie es in einem Blogbeitrag der Sicherheitsforschenden heisst.

Leicht zu erraten

Wenn ein Passwort-Manager ein neues Passwort vorschlägt, geschieht dies meist mit Hilfe eines Pseudozufallszahlengenerators. Dies soll sicherstellen, dass das Passwort nichts mit der Person, die es verwendet, zu tun hat und dass es schwierig zu knacken ist. Im Fall von Kaspersky lief dieser Prozess laut den Expertinnen und Experten jedoch nicht verlässlich ab und die Zahlen, die generiert wurden, waren nicht zufällig genug.

Grund dafür sei, dass bei Kaspersky zum Erstellen der Passwörter leicht zu erratende Informationen wie beispielsweise die momentane Uhrzeit in Sekunden verwendet wurden. Daher haben beispielsweise Nutzerinnen und Nutzer, die sich zur gleichen Zeit ein Passwort generieren liessen, dasselbe – scheinbar zufällige – Passwort erhalten. Darüber hinaus führte dies dazu, dass es viel zu wenige mögliche Passwörter gab. Hackerinnen und Hacker konnten die so generierten Kennworte innert Sekunden umgehen.

Wie itmagazine.ch berichtet, war Kaspersky seit Juni 2019 über das Problem im Bilde. Man habe damals auch ein Update lanciert, welches stärkere Passwörter erstellen konnte, die bereits generierten schwächeren Passwörter wurden damals jedoch nicht ersetzt. Dies geschah erst im Oktober 2020. Daher wird Nutzerinnen und Nutzern, die den Passwort-Manager von Kaspersky benutzen, geraten, auf die Windows-Version 9.0.2 Patch F, die Android-Version 9.2.14.872 oder die iOS-Version 9.2.14.31 upzudaten.

Digital-Push

Wenn du den Digital-Push abonnierst, bist du über News und Gerüchte aus der Welt von Whatsapp, Snapchat, Instagram, Samsung, Apple und Co. informiert. Auch erhältst du Warnungen vor Viren, Trojanern, Phishing-Attacken und Ransomware als Erster. Weiter gibt es Tricks, um mehr aus deinen digitalen Geräten herauszuholen.

So gehts: Installiere die neuste Version der 20-Minuten-App. Tipp unten rechts auf «Cockpit», dann «Einstellungen» und schliesslich auf «Push-Mitteilungen». Beim Punkt «Themen» tippst du «Digital» an – et voilà!

My 20 Minuten

Als Mitglied wirst du Teil der 20-Minuten-Community und profitierst täglich von tollen Benefits und exklusiven Wettbewerben!

Deine Meinung

17 Kommentare