提供永久免费的API接口，查看更多API接口，如果您有其他免费API资源，请联系我们，造福人类。

定制开发，免费评估，免费咨询，价格便宜，售后保障，前往开发服务中心或联系开发客服中心

假设您从事的是生成密码的工作，最好使用除当前时间之外的其他熵源，但在很长一段时间内，这都是卡巴斯基密码管理器（KPM）所使用的

在一篇博文中，安全研究部门负责人莱杰·唐戎（Ledger Donjon）让·巴蒂斯特·贝德鲁恩（Jean Baptiste Bédrune）表示，KPM正是这样做的

“卡巴斯基密码管理器使用了一种复杂的方法来生成其密码。此方法旨在为标准密码破解程序创建难以破解的密码。然而，这种方法降低了生成的密码相对于专用工具的强度

KPM使用的技术之一是让不常用的字母出现得更频繁，贝德伦说，这可能是试图欺骗密码破解工具

“他们破解密码的方法依赖于这样一个事实，即在人类创建的密码中，可能有‘e’和‘a’而不是‘x’或‘j’，或者大字母‘th’和‘he’比‘qx’或‘zr’出现的频率要高得多，”他说

“平均而言，KPM生成的密码将远远超过这些工具测试的候选密码。如果攻击者试图破解KPM生成的密码列表，他可能会等待相当长的时间，直到找到第一个。这是非常聪明的。”

另一方面，如果攻击者能够推断出使用了KPM，那么密码生成器中的偏差就开始对其不利

“如果攻击者知道有人使用KPM，他就能比完全随机的密码更容易破解密码。然而，我们的建议是生成足够长的随机密码，其强度足以被工具破坏。”

KPM犯的最大错误是将当前系统时间（以秒为单位）用作Mersenne Twister伪随机数生成器的种子

“这意味着世界上每一个卡巴斯基密码管理器实例都会在给定的一秒钟生成完全相同的密码，”贝德伦说

由于程序的动画在创建密码时需要一秒以上的时间，贝德伦说，这可能是这个问题没有被发现的原因

“后果显然很糟糕：每一个密码都可能被强行破解，”他说

“例如，2010到2021之间有315619200秒，因此KPM最多可以为给定的字符集生成315619200个密码。暴力破解需要几分钟的时间。”

Bédrune补充说，由于网站经常显示帐户创建时间，这将使KPM用户容易受到大约100个可能密码的暴力破解攻击

但是，由于一些错误的编码导致数组读取越界，Ledger Donjon发现了一点额外的熵

“虽然算法是错误的，但在某些情况下，它实际上使密码更难强制执行，”帖子说

研究小组称，Windows 9.0.2补丁F、Android 9.2.14.872或iOS 9.2.14.31之前的KPM版本受到影响，卡巴斯基在其Windows版本上用BCryptGenRandom函数取代了Mersenne Twister

Kaspersky于2019年6月获悉该漏洞，并于同年10月发布了修复版本。2020年10月，通知用户需要生成一些密码，卡巴斯基公司于2021年4月27日发布了其安全公告。

该安全公司表示：“所有与此问题有关的卡巴斯基密码管理器的公共版本现在都有了新的密码生成逻辑，并在生成的密码可能不够强的情况下发出密码更新警报。”

2015年末，卡巴斯基说，七分之一的人只使用一个密码

卡巴斯基实验室（Kaspersky Lab）首席安全研究员大卫•埃姆（David Emm）当时讽刺地说：“每个账户的密码都不同，这是保护数字身份的一个重要基本要素。”

ACMA发现，Telstra在NBN计划中保留了50000个用户，他们的铜缆不能打到TPG，Telstra重新回到1800MHz和2100MHz频段，速度提高了10-20%

如果Windows 11兼容工具不能运行，那么我的Windows on Arm之旅就结束了

Optus停机时间延长到周五下午

通过注册，您同意使用条款，并承认隐私政策中概述的数据实践。

您还将获得免费订阅的ZDNet今日技术更新和ZDNet公告时事通讯。您可以随时取消订阅这些时事通讯。

您同意接收CBS系列公司的更新、提醒和促销活动，包括ZDNet的今日技术更新和ZDNet公告时事通讯。您可以随时取消订阅

2023-03-22 10:04:37