Grobe Schwächen bei der Erstellung von Zufallszahlen führten dazu, dass Passwörter extrem leicht ausgerechnet werden konnten

Der Passwort-Manager von Kaspersky wies jahrelang geradezu haarsträubende Sicherheitsdefizite auf. Das Ergebnis: Damit bis Ende 2019 generierte Passwörter lassen sich innerhalb weniger Minuten erraten. Der Grund dafür: Die Entwickler von Kaspersky dürften beim Einführungskurs "Zufallszahlen" geschlafen haben.

Generell funktionieren solche Apps so, dass sie einen sogenannten Pseudozufallszahlengenerator (PRNG) verwenden, auf dessen Basis dann die eigentliche Passphrase errechnet wird. Die Sicherheit dieses Systems steht und fällt insofern damit, wie gut - oder eben: zufällig - die vom PRNG gelieferten Ausgangswerte sind. Bei Kaspersky ist man an dieses Thema aber ziemlich unbekümmert herangegangen: Statt eines echten PRNG wurde einfach die aktuelle Uhrzeit in Sekunden als Ausgangsbasis verwendet.

Das Ergebnis: Zu einem gewissen Zeitpunkt wird nicht nur immer das gleiche Passwort erstellt, es kann auch leicht nachvollzogen werden. Zudem ist das Ergebnis dermaßen wenig zufällig, dass sich einfach alle möglichen Passwörter berechnen und durchprobieren lassen. Das geht automatisiert eben innerhalb weniger Minuten - selbst wenn man den Zeitraum nur sehr grob auf das Lebensalter der Software beschränkt.