sDyjUgtgoykWPpuvYC4wZQDg, GwtpzmdYUNimuf2zaZLWqKVv, bTBfnYv7qDBnTznACPCaxxLF – all das sind von einem Passwortmanager generierte Passwörter. Auf den ersten Blick sehen diese Zahlen-Buchstaben-Kombinationen mehr als sicher aus. Merken lassen sie sich nur mit einem Imperium aus Eselsbrücken oder einer Inselbegabung.
Derartige Passwörter spuckt auch der Passwortmanager von Kaspersky aus. Allerdings ließen die sich relativ einfach erraten, als das verwendete Verfahren zum Erstellen der Kombinationen an die Öffentlichkeit gelangte. Wie jetzt bekannt wurde, erkannte Kaspersky bereits 2019 das Problem und beseitigte es. Wer allerdings vor diesem Zeitraum den Manager benutzte, nutzt vermutlich noch heute ein unsicheres Passwort. Betroffen sind dabei neben Windows auch die Versionen für Android und iOS.
Zufallspasswort nicht ganz zufällig
Das Problem lag ganz einfach bei einem Zahlengenerator, der für die Erzeugung der Passwörter zuständig ist. Erstellt wurden die Kombinationen bei Kaspersky von einem Pseudozufallszahlengenerator, kurz PRNG. Der errechnet aufgrund eines Anfangswertes eine Serie von Zahlen, die völlig zusammenhangslos wirken. Tatsächlich ist die Zahlenfolge aber immer dieselbe, wenn der Anfangswert gleich ist. Ist dieser Anfangswert bekannt, können potenzielle Angreifer das Passwort einfach ausrechnen.
Wer sich jetzt fragt, wie Hacker an diesen Wert gelangen sollen: Der Passwort-Manager nahm als Anfangswert immer die aktuelle Uhrzeit in Sekunden. Also beispielsweise „5832014“. Das bedeutet, dass jedem Nutzer, der um 16:12:14 Uhr den Passwortmanager nutzt, das gleiche Passwort ausgespielt wird. Dadurch wird die Zahl an potenziellen Passwörtern schon um einiges reduziert.
Laut Forschern von Ledger, die das Problem entdeckten, ist es möglich, innerhalb weniger Minuten alle Passwörter, die innerhalb eines Jahres erstellt wurden, durchzuprobieren. Die Forscher informierten Kaspersky bereits im Juni 2019. Doch erst im April 2021 tauchte das Problem erstmals in einem Security-Advisory von Kaspersky auf; der erzwungene Wechsel alter Passwörter erfolgte im Oktober 2020. Was bleibt, ist mindestens ein Jahr mit unsicheren Passwörtern.