Kaspersky Password Manager générait des mots de passe trop faibles

Si vous utilisez Kaspersky Password Manager, il pourrait être sage de générer à nouveau tout mot de passe créé avant octobre 2019.

Dans un billet de blog qui clôt une saga de près de deux ans, Jean-Baptiste Bédrune, responsable de la recherche en sécurité chez Ledger Donjon, a décortiqué les méthodes mises en place par Kaspersky dans son gestionnaire de mot de passe.

« Kaspersky Password Manager utilisait une méthode complexe pour générer ses mots de passe. Cette méthode visait à créer des mots de passe difficiles à casser. Cependant, cette méthode réduit la force des mots de passe générés face aux outils dédiés », écrit Bédrune.

L’une des techniques utilisées par KPM consistait à faire apparaître plus fréquemment des lettres rarement utilisées. Selon Bédrune, cette méthode est probablement une tentative de tromper les outils permettant d’attaquer et de cracker par force brute les mots de passe.

« Leur méthode repose sur le fait qu’il y a probablement plus de ‘e’ et de ‘a’ dans un mot de passe créé par un humain que de ‘x’ ou de ‘j’, ou que les bigrammes ‘th’ et ‘he’ apparaîtront beaucoup plus souvent que ‘qx’ ou ‘zr' », a-t-il déclaré.

« Les mots de passe générés par KPM seront, en moyenne, loin dans la liste des mots de passe testés par ces outils. Si un attaquant tente de craquer une liste de mots de passe générés par KPM, il attendra probablement assez longtemps avant de trouver le premier. C’est assez malin ».

Le revers de la médaille est que si un attaquant devine que KPM a été utilisé, les biais du générateur de mots de passe commencent à jouer contre lui.

« Si un attaquant sait qu’une personne utilise KPM, il sera en mesure de casser son mot de passe beaucoup plus facilement qu’un mot de passe totalement aléatoire. Notre recommandation est toutefois de générer des mots de passe aléatoires suffisamment longs pour éviter d’être cassés par un outil. »

Source : Kaspersky Password Manager générait des mots de passe trop faibles