卡巴斯基修正密码管理器KPM技术弱点，解决产生的密码容易被暴力破解的问题

许多人会以密码管理器来产生密码以确保安全。一家安全厂商研究发现，卡巴斯基的密码管理器（Kaspersky Password Manager，KPM）产生的密码不够安全，有一个问题让它的密码只要几分钟即可暴力破解。不过这项问题已经被解决。

安全公司Ledger Donjon研究人员Jean-Baptiste Bédrune发现，KPM的数个基本技术问题，使其密码安全性被大幅减弱。首先，它使用一种复杂方法来产生密码。这种方法是利用较少被使用的字母来产生密码，例如一般用户较常使用e或a或th及he字母组，但较少用x及J、或是qx、zr。KPM就是运用这原则产生密码，因此对暴力破解者来说，得花更长时间。

但这种方法的优点也变成一种偏误，减少了密码产生的随机性。如果攻击者知道用户使用KPM产生密码，以专门工具破解速度就会快过随机产生的长密码。

但研究人员指出，KPM最大的技术问题在它加密的关键：伪随机数生成器（pseudorandom number generator，PRNG）。它使用的是Mersenne Twister PRNG，这项技术是以目前时间的秒数为随机种子（seed）来生成数字序列。从2010到2021年之间有315619200秒，也就是说，KPM最多只能产生315619200组密码。对高速电脑而言，破解这些只要几分钟的时间。

而且，有些网站或论坛还会显示账号产生的时间，因此只要知道账号建立的日期，攻击者就能缩小测试范围到100组密码来破解。另外，如果有些外泄数据库包含杂凑密码、加密档案库的密码或TrueCrypt/Veracrypt volumes，也可以用来破解以KPM产生的密码。

研究人员在2019年6月通报卡巴斯基，这个问题被列为漏洞CVE-2020-27020，影响产品扩及Windows、Android及iOS版本。卡巴斯基于2019年10月到12月先后释出KPM Windows 版本9.0.2 Patch F版、Android 版本9.2.14.872版及iOS版本9.2.14.31版解决该漏洞。其中，卡巴斯将Windows版KPM中的Mersenne Twister PRNG，换成了BCryptGenRandom 函式。

一切修补完成后，2020年10月13日卡巴斯基释出9.0.2 Patch M，通知用户重新产生某些密码，并在今年第1季通知手机用户。卡巴斯基在4月及5月分别发出安全公告及这项漏洞的细节。