SICUREZZA DIGITALE

Sei sicuro che il Password Manager di Kaspersky funzioni?

Per anni lo strumento avrebbe generato parole chiave facili ad essere attaccate dai malintenzionati

KPM, il Kaspersky Password Manager, è un software di gestione che permette agli utenti di conservare parole chiave e documenti riservati in una sorta di cassaforte super-blindata.

È una sorta di “angelo custode” cui l’utilizzatore affida i suoi segreti e chiede addirittura aiuto per generare parole chiavi difficili da indovinare così da assicurare l’impenetrabilità del proprio dispositivo (computer, tablet o smartphone).

Le carateristiche di KPM

Questo prodotto sviluppato dalla società di cybersecurity russa Kaspersky – secondo Jean-Baptiste Bédrune, a capo della Divisione Ricerca sulla sicurezza del competitor francese Ledger Donjon – porta alla creazione di password crittograficamente deboli e quindi facili ad essere forzate addirittura in un battibaleno.

La soluzione KPM è una specie di matrioska che consente di accedere al proprio interno solo a chi conosce la combinazione alfanumerica principale, preservando l’elenco delle parole chiave (e delle applicazioni cui sono abbinate) e l’insieme delle informazioni sensibili dal rischio che diventino preda di occhi indiscreti. È una soluzione disponibile sul mercato per parecchi sistemi operativi e quindi è in grado di accontentare chi adopera Windows, macOS, Android, iOS e così a seguire. La sua chiave principale è in grado di accedere ad un cruscotto che gestisce e sincronizza tutte le password impiegate su qualunque “aggeggio” a disposizione.

Kaspersky Password Manager si avvale di una modalità particolarmente complessa per “inventare” le password da suggerire a chi si avvale del suo servizio, metodo e il risultato dovrebbe garantire una certa impermeabilità nei confronti dei “cracker” tradizionali che cercano in modo automatico di trovare la “combinazione”.

Il sistema si basa sulla lunghezza della password e sulla previsione di lettere maiuscole, lettere minuscole, cifre e un set personalizzato di caratteri speciali. Con questi ingredienti KPM – per sua impostazione predefinita – genera parole chiave di 12 caratteri con un set di caratteri esteso.

La fragilità di KPM

Nonostante queste premesse, saltano fuori seri problemi di vulnerabilità (classificato dai tecnici come CVE-2020-27020), tutto per colpa di un generatore di numeri pseudocasuali (PRNG la sigla per gli addetti ai lavori) un pochino “debole”.

Senza infilarci in trattazioni spinose e indigeste per chi non mangia pane e bit, è importante sapere che Kaspersky Password Manager nel mondo genererà la stessa identica password in un determinato secondo. Il “rompiscatole” Jean-Baptiste Bédrune asserisce che, visto il numero di secondi compreso nell’arco temporale intercorrente tra il 2010 e il 2021, KPM potrebbe generare al massimo 315 milioni e 619.200 parole chiave diverse ovvero una mole di combinazioni particolarmente maneggevole per malintenzionati in possesso di adeguate risorse informatiche con elevata capacità di calcolo.

Un attacco di bruta forza (o “bruteforcing” come preferiscono etichettarlo quelli che amano le espressioni anglofone), basato sull’esecuzione di tutti i tentativi possibili, porterebbe a scassinare la “serratura” in una manciata di secondi se il bandito conosce l’orario di creazione della parola chiave.

Problema vecchio e ora risolvibile

La storia, ad essere sinceri, non è nuova perché gli esperti di Ledger Donjon si sono premurati di segnalare a Kaspersky questa criticità già nel 2019, ma un vero e proprio irrobustimento di KPM sarebbe avvenuto solo nella scorsa primavera.

Kaspersky, da parte sua, minimizza la questione dicendo che è abbastanza improbabile che un criminale sia in possesso delle informazioni sull’account dell’utente e il momento esatto della creazione della password.

Considerato che il software in questione è stato recentemente rivisitato, è opportuno che chi se ne serve provveda a controllare la versione dell’applicazione in uso e, se non è quella più recente, si sbrighi ad installare gli ultimi aggiornamenti.

Back to top button