安全研究人员显示,卡巴斯基的密码生成器程序(KPM)在2019年更新之前,使用当前时间作为生成密码的基础,这使得密码很容易被破解。密码生成器并不总是完全随机的,因为弱密码可能以完全随机的序列出现。但是卡巴斯基并没有使用多层逻辑来设置强密码,只是使用当前时间来确定生成的密码。
ZDNet分享了Ledger Donjon进行的研究,并解释了使用这种逻辑生成密码背后的问题。根据研究,这意味着世界上卡巴斯基的每个实例都会在某一秒生成相同的密码。换句话说,试图侵入用户账号的人只需要知道账号是什么时候创建的,是否使用了卡巴斯基密码管理器,每个创建的密码都可以被轻易破解。
“如果攻击者知道一个人使用KPM,他将能够比完全随机的密码更容易地破解他的密码,”Ledger Donjon的首席安全研究员说。“然而,我们的建议是生成一个足够长的随机密码,其威力强大到无法被工具破解。”
