Nếu đang sử dụng trình quản lý mật khẩu Kaspersky Password Manager (KPM) thì bạn nên xem xét tới việc cập nhật phiên bản mới và tạo lại các mật khẩu mới cho những tài khoản của mình. Lý do là vì các chuyên gia bảo mật vừa phát hiện ra hai lỗ hổng có thể giúp hacker chỉ cần thử khoảng 100 lần để tìm ra mật khẩu bạn.
Những lỗ hổng này xuất hiện trên các mật khẩu được tạo ra trong khoảng thời gian trước tháng 10 năm 2019.
Theo chuyên gia Jean-Baptiste Bédrune, sai lầm lớn nhất của KPM là sử dụng thời gian hiện tại tính bằng giây để làm tham số trong bộ tạo số ngẫu nhiên Mersense Twister. Điều này đồng nghĩa với việc mọi phiên bản KPM trên thế giới sẽ tạo ra cùng một mật khẩu vào một giây nhất định.
Hậu quả thực sự tồi tệ, nó khiến mọi mật khẩu đều có thể được lần ra bằng kỹ thuật brute force.
Ví dụ: Giữa năm 2010 đến năm 2021 có 315619100 giây, vì thế KPM có thể tạo ra tối đa 315619100 mật khẩu cho một bộ ký tự nhất định. Nếu dùng brute force, hacker chỉ mất vài phút để tìm ra mật khẩu.
Bédrune chia sẻ thêm rằng do hầu hết các trang web đều hiển thị thời gian tạo tài khoản nên kẻ xấu có thể tìm ra mật khẩu của người dùng KPM chỉ trong khoảng 100 lượt đoán brute force.
Lỗ hổng thứ hai thực sự chỉ có ích nếu hacker biết bạn dùng KPM. Để đánh bại các cuộc tấn công dựa vào từ trong từ điển, KPM tạo ra các mật khẩu với các nhóm chữ cái không có trong từ như qz hoặc zr.
Vấn đề là nếu hacker biết bạn dùng KPM, chúng có thể tạo ra một cuộc tấn công brute force với các nhóm chữ cái này. Với số lượng hạn chế, tấn công các nhóm chữ cái đặc biệt này còn mất ít thời gian hơn so với kiểu tấn công dựa vào từ trong từ điển.
Sau khi nhận được báo cáo từ các chuyên gia, Kaspersky đã phản hồi như sau:
"Kaspersky đã khắc phục các sự cố bảo mật trong KPM, điều có khả năng cho phép hacker tim ra mật khẩu do công cụ tạo ra. Hiện tại, chúng tôi đã tung ra bản sửa lỗi và bổ sung thêm cơ chế thông báo cho người dùng nếu mật khẩu mà họ tạo ra bằng KPM có thể dễ bị tấn công và cần phải thay đổi".
Bên cạnh đó, Kaspersky cũng khuyên người dùng nên cập nhật phiên bản mới nhất của KPM. Những người dùng tạo mật khẩu trước thời điểm tháng 10/2019 thì nên tạo những mật khẩu mới để thay thế.