【セキュリティ】カスペルスキーのパスワードマネージャーが生成したパスワードは総当たりで爆速突破が可能だったと判明、一体なぜか？ [すらいむ★]

**すらいむ ★** · 2021/07/08(木) 14:42:16.79

カスペルスキーのパスワードマネージャーが生成したパスワードは総当たり攻撃で爆速突破が可能と判明、一体なぜか？

　セキュリティ調査企業のLedger Donjonが、セキュリティ企業・カスペルスキーの開発するパスワードマネージャー「Kaspersky Password Manager(KPM)」のプログラムに問題があり、生成されたパスワードが総当たり攻撃に対して非常に脆弱だったことが判明したと発表しました。
　KPMの利用者には既にパスワードの更新をするように促すメッセージが送信されており、記事作成時点ですでに問題は修正済みとのことです。

（以下略、続きはソースでご確認下さい）

Gigazine 2021年07月07日 21時00分
https://gigazine.net/news/20210707-kaspersky-password-manager-brute-force/

**名無しのひみつ** · 2021/07/08(木) 14:44:01.97

総当りに脆弱もクソもないような

**名無しのひみつ** · 2021/07/08(木) 14:46:25.07

いや組み合わせがワンパターンとかなら十分あるよ

**名無しのひみつ** · 2021/07/08(木) 14:50:18.79

>>1
カスペルスキーさん死んだとこなのに

**名無しのひみつ** · 2021/07/08(木) 14:50:43.26

生成プログラムが漏れてる！？

**名無しのひみつ** · 2021/07/08(木) 14:52:51.13

シードがなんちゃら

**名無しのひみつ** · 2021/07/08(木) 14:54:20.61

パスワード生成アルゴリズムがアレだったんだろ

そもそもカスペルスキーってロシア製だろ
カスペルスキーを使ってる時点でロシア人にパスワード開陳してるも同然

**名無しのひみつ** · 2021/07/08(木) 14:56:34.54

じゃあセキュリティソフトは何を使ったらええの？

**名無しのひみつ** · 2021/07/08(木) 14:58:56.77

>>8
自分を信じるんだ!

**名無しのひみつ** · 2021/07/08(木) 15:01:11.12

ロシアだぞ
プーチンだぞ
KGBだぞ
オマイらのパスワードなんか中共にダダ漏れ

**名無しのひみつ** · 2021/07/08(木) 15:01:36.38

こんなに好きにさせといて
カスペルスキーになったはないでしょう

**名無しのひみつ** · 2021/07/08(木) 15:13:04.22

>>11
なんかツボにはまって笑ってしまったw

**名無しのひみつ** · 2021/07/08(木) 15:24:31.33

2年前か
もう今のは修正されてるんだね

**名無しのひみつ** · 2021/07/08(木) 15:34:53.23

>>2
ちゃんとソース読め

**名無しのひみつ** · 2021/07/08(木) 16:35:00.74

パスワードの生成に普通の疑似乱数使うとかそんなセキュリティソフトは捨ててしまえ

**名無しのひみつ** · 2021/07/08(木) 17:08:11.10

これはパスワード作成時のシステム時間使うから、ただの疑似乱数よりさらに破られやすかった

**名無しのひみつ** · 2021/07/08(木) 18:02:05.80

seedが32bitだとどうやっても40億通り？しかないから
時刻以外の情報足してもダメよね
修正済みっていってもどう修正したかが問題

**名無しのひみつ** · 2021/07/08(木) 18:08:10.53

この手の脆弱性は20年も前から昔からしてきされてきたことなのに。
乱数の種を時刻などにして乱数列を発生しているばあいに、
そのだいたいの時刻を推量できるばあいには、
その時刻をいろいろと仮定して試してゆけば、
いつか正しい時刻をあてることができて、
その結果として同じ乱数列を再現できる。
乱数列に基づいてパスワードなどを生成していたら
同じパスワードを発見できるのだ。

だから、普通は、単に何かの時刻だけではなくて、
各ユーザーが自分固有のランダムなデーターを
与えてやらなければ、他人に真似されてしまうのだ。

フリーで頒布されているパスワード生成ソフトなどと
いうものを使うのは愚か。もしもその作者が間抜けか
悪意のある奴だったら、パスワード生成ソフトが生成
するパスワードの列が誰にでも再現できてしまうかも
しれないのに。一見ランダムな文字列や数字の列であっても、
同じソフトが同じ文字列あるいは数字の列をどこでも
誰にでも出力するだけのクズソフトかもしれないのに。

**名無しのひみつ** · 2021/07/08(木) 18:09:46.45

アスペルスキー

**名無しのひみつ** · 2021/07/08(木) 18:23:15.28

実は限られた数の候補リストからランダムに選んでいるだけだったりして

**名無しのひみつ** · 2021/07/08(木) 18:29:14.35

>>11

**名無しのひみつ** · 2021/07/08(木) 18:31:44.37

>>10
フランスに渡米するわ

**名無しのひみつ** · 2021/07/08(木) 18:35:27.29

トークンのプログラムがばれたみたいな感じか

**名無しのひみつ** · 2021/07/08(木) 18:38:53.38

>>KPMで生成されたパスワードは3億1561万9200パターンしかない

ダメじゃん
そりゃ爆速で突破されるわ

**名無しのひみつ** · 2021/07/08(木) 18:48:00.15

秒に換算すると、およそ3億～とか書いてるけど
GetSystemTimeAsFileTime ってWindows内部の18ms単位でカウントしてる
時刻を返すんじゃなかったっけ
そうするとその60倍くらいになる計算だけど
seedが32bitだから40億で頭打ちって感じか

**名無しのひみつ** · 2021/07/08(木) 19:01:12.19

>>9
マカフィー創業者はこの前自殺したよな

**名無しのひみつ** · 2021/07/08(木) 20:35:50.42

>>25
まさか分解能が18ミリ秒だと18ミリ秒の倍数だけしか返さないと思ってんのか

**名無しのひみつ** · 2021/07/08(木) 21:00:34.60

カスペだけじゃないと思うぞ

**名無しのひみつ** · 2021/07/08(木) 21:12:45.51

エントロピープール使うような奴でさえ、十分な乱雑さが得られないことがあるというのに
時刻をシードにした擬似乱数とか馬鹿にしてるのか？

ゲームなんかでも乱数の取り扱いがアホな例よく見かける(サイコロが必ず奇数-偶数と代わりばんこになるとか)
数学理解していないと乱数を取り扱うのは難しい

**名無しのひみつ** · 2021/07/08(木) 21:18:43.62

AI「あくまで人間が使うものなんだから人間が破れなければ文句はないでしょ

**名無しのひみつ** · 2021/07/08(木) 21:31:49.09

>>1
20年ぐらい前だけど・・・
時給900円の受付のお姉ちゃんが全部知ってたよ。

そういう国だよこの日本って国は、別にそれでいいよ・・・
一般市民は、そういう扱いで十分。逆にその方が、気が楽になったよ。('_')ｂ

**名無しのひみつ** · 2021/07/08(木) 21:36:52.71

擬似にしても、実装が不味すぎるに程があるだろ。
せめてIPやらMACやらで、ノード毎に違う値にしておけよ。

**名無しのひみつ** · 2021/07/08(木) 21:46:23.67

>>14
原文読んでも良く分からんかった
詳しく教えて

**名無しのひみつ** · 2021/07/08(木) 21:50:10.22

昔はカスペルスキーやアビラ、ビットディフェンダー、ノートンとかがもてはやされた
なぜなら他社のセキュリティソフトより検出力防御力が頭1つ抜け出てたから
が、マイクロソフトがWindows10を出しそれと連携させ性能を大幅に強化した
Windowsディフェンダーが世に登場するや状況は一変
それまで各有名大手独立調査機関が実施するテストでは最下位の常連だったマイクロソフトが
軒並み上位の成績を出し続けるようになり現在に至っている
またグーグルの幹部がWindowsのPCにWindowsディフェンダー以外を入れることは
馬鹿げているとのコメントを出しサードパーティのセキュリティソフトを入れるのは危険との認識を広めた
最近ではサードパーティのセキュリティソフトは姿を変えていく運命だと予想する専門家も少なくない
https://www.itmedia.co.jp/pcuser/articles/1904/11/news010.html
なお
昔は世界における個人向けPCでのセキュリティソフト占有率1位はアバストであったが
数年前にWindowsディフェンダーにトップの座を奪われ現在は断トツで占有率1位はマイクロソフト標準
法人向けについても昔は全然だったマイクロソフトだったが現在はそちらでもトップの占有率である

**名無しのひみつ** · 2021/07/08(木) 21:50:29.03

まあその気になったら単なるパスワード系や既存のアルゴリズムの暗号化は絶対割られる
ロシア人が平気でAES256-CBC割ってたときはびっくりしたわ
あいつらスパコン並の演算能力ある端末持ってるんじゃねーの

**名無しのひみつ** · 2021/07/08(木) 21:50:33.27

>>33
パターンがやたら少ない
だから全部試すのにさほど時間がかからない

**名無しのひみつ** · 2021/07/08(木) 21:52:02.33

シードにミリ秒を使わないとか、わざとだろｗ

**名無しのひみつ** · 2021/07/08(木) 21:56:41.05

2011年1月1日時点で、たったの 31,536,000 通りしかない
当時のPCでさえ、総当たりで数秒もかからない
わかってて仕込んだとしか思えない

**名無しのひみつ** · 2021/07/08(木) 21:59:27.79

>>36
もう一つ問題が指摘されてるよ
一様乱数の積を使っているので、文字の頻度が一様にならない

一様乱数の積は一様分布しない
https://kashino.exblog.jp/12885005/

**名無しのひみつ** · 2021/07/08(木) 22:03:33.84

あなたたち・・・・ぐるだったのね！

**名無しのひみつ** · 2021/07/08(木) 22:13:41.11

TrueCryptもそうなんだろうな

**名無しのひみつ** · 2021/07/08(木) 22:15:28.58

今時12桁は短い、ってのはあるし、セキュリティ会社がやらかすのは外聞悪いが、
実際問題そんなに心配するような脆弱性ではないだろう

証明書パスワードやzipパスワードみたいに
オフライン攻撃を許す状況ならbrute forceを懸念するのもわかるが、
オンライン環境、特にログイン認証周りはbrute forceで破れるようなもんじゃない
だからこそパスワードスプレイングみたいな手法が使われる訳で

**名無しのひみつ** · 2021/07/08(木) 22:19:59.29

>>34
検出力どうこうは10年以上前の話
今から思えば牧歌的なウイルス対策の時代だった
今はほとんど関係ないよ
ファイルそのものを検査したってもはや埒が開かない
別の考え方で守らないと

**名無しのひみつ** · 2021/07/08(木) 22:21:48.46

>>7
マッチポンプ？

**名無しのひみつ** · 2021/07/08(木) 22:28:58.60

元論文のまとめ、
パスワード生成の元となるランダムキャラクターは、C#の
getRandomUInt64やGetRandom32などの組み込み関数を用いている。
この場合、生成される乱数は1-64か1-32なのに対して、数字文字は1-10
となるため、数字のパスワード文字を生成するためには%10で余りを求める。
しかし、この場合、64文字を10文字に変換しているため、変換後の
10文字の乱数には偏在が生じる。実際、カスペルスキーのパスワード
は完全な乱数文字ではなく、変換時に生じる計算処理上の偏在が生じている
ことがわかった。
次に、カスペルスキーは乱数生成関数のシードとして時刻を使用しており、
パスワードが生成された時刻が分かれば、パスワード突破が容易になる。
つまり、NSAクラスの暗号解読技術者がいればカスペルスキーのパスワード
は容易に解読可能。

**名無しのひみつ** · 2021/07/08(木) 22:43:57.76

十数桁あっても機械的に爆速で総当たりされるのなら
パスワード生成ソフト使っても
“password123456”でもほとんど突破にかかる時間は変わらんのでないの？

**名無しのひみつ** · 2021/07/08(木) 22:51:00.02

こんなの入れてるの個人だろ
あとかなり近しい関係じゃないとこれを
対象者が使ってることを知ることすらできん
スパイ映画みたいな状況でもない限り
攻撃を成功させるのは困難

**名無しのひみつ** · 2021/07/08(木) 22:51:28.08

結局パスワード単体でデータを守る時代じゃないんだろうね
面倒だけど多要素認証にしていくしかなさそうだ

**名無しのひみつ** · 2021/07/08(木) 22:52:55.05

元論文のまとめ２、
カスペルスキーのパスワードは突破可能なのか？
カスペルスキーのパスワードは計算処理上の理由により偏在が生じている。
乱数生成アルゴリズムにはこの偏在をなくす手法もあるが、カスペルスキーは
この手法を実装していない。ただし、偏在はあるが、だからと言って
容易に突破は難しい。
次に、カスペルスキーは乱数関数使用時にシステムクロックをランダムシード
に使用している。このため、まったく同一時点に生成されるパスワードは
設定が同一であれば同一となる。カスペルスキーはユーザーインターフェース
に工夫を凝らすことによって、入力されるシステムクロックに数秒のブレを
組み込んでいる。ただし、それでも、同一時刻に生成されたパスワードは、
おおよそ、100個ほどの候補に絞り込みが可能となる。
最初の脆弱性を突破するのは難しいが、システムクロックの脆弱性の突破は
非常に容易。

**名無しのひみつ** · 2021/07/08(木) 23:08:28.34

>>33
原文と言うか、>>1のソースに・・・

>>KPMで生成されたパスワードは3億1561万9200パターンしかないということになります。調査チームによれば、3億1561万9200パターンのパスワードに総当たり攻撃をしかける場合、たった数分で突破できてしまうとのこと。

**名無しのひみつ** · 2021/07/08(木) 23:32:41.33

>>26
なんでまた？

**名無しのひみつ** · 2021/07/09(金) 00:07:11.54

>>46
そういうよくあるやつは、リストを持ってて最初に試すから、総当りする前に解かれる。

**名無しのひみつ** · 2021/07/09(金) 00:07:20.80

総当たりさせる時点で駄目だろ・・・
５回ミスったらロックかけろよ

**名無しのひみつ** · 2021/07/09(金) 00:42:17.80

>>53
これな

**名無しのひみつ** · 2021/07/09(金) 03:56:18.44

遠隔で物理的にサイコロ振って乱数作るシステムはないの？

**名無しのひみつ** · 2021/07/09(金) 08:54:54.81

>>50
3億ったら28ビットぐらいの情報量しかない
せいぜい4〜5文字のパスワードを使ってるのと同じ

>>53
問題はどっかのサーバからパスワード情報が流出した時で...
解読されにくいものを使うのはもちろん使い回しはやめないと

**名無しのひみつ** · 2021/07/09(金) 08:59:28.51

ハッシュ関数で作った256ビット程度のハッシュ値の16進文字列（64文字）
であったとしても、ハッシュ関数に与える入力が辞書にあるような
単語などだと、何にも難しくなく破れてしまうのだ。

変換で得られる一見ランダムそうにみえる文字列も、
それを作り出す変換の仕組みが分かっていて、
もともとの入力のランダムさが低ければ、難なく破れる。

**名無しのひみつ** · 2021/07/09(金) 09:28:34.77

6桁の英字が約3億通りだから、"omanko"位の強度か

**名無しのひみつ** · 2021/07/09(金) 09:53:58.10

>>55
今時のCPUには熱雑音を使ったハードウェア乱数生成器が載ってるから、それを使え

**名無しのひみつ** · 2021/07/10(土) 06:38:53.49

【悲報】加藤官房長官　五輪財政負担、東京都との交渉応じない意向　「東京都が補填する」 ★6 [potato★] (491ﾚｽ)
上下前次1-新
抽出解除必死ﾁｪｯｶｰ(本家) (べ) 自ID ﾚｽ栞あぼーん
ID:CLvJtWGh0
428(1): ニューノーマルの名無しさん 07/10(土)06:04 ID:CLvJtWGh0(1/5) AAS
無観客になったのは東京都民が好き勝手にウェーイしてコロナを蔓延させ非常事態宣言下となったから
他の国民は自粛しきちんと感染を収束させ日常を取り戻しているのにだ

無観客になり収入が消えたのはどう考えても東京の責任
455: ニューノーマルの名無しさん 07/10(土)06:15 ID:CLvJtWGh0(2/5) AAS
なんかな。同一ID。たまに出てくるが時間帯が近接なのは久々。

428: ニューノーマルの名無しさん 07/10(土)06:04 ID:CLvJtWGh0(1) AAS
無観客になったのは東京都民が好き勝手にウェーイしてコロナを蔓延させ非常事態宣言下となったから
他の国民は自粛しきちんと感染を収束させ日常を取り戻しているのにだ

無観客になり収入が消えたのはどう考えても東京の責任
462: ニューノーマルの名無しさん 07/10(土)06:17 ID:CLvJtWGh0(3/5) AAS
>>428
不思議で怖くならないかい？一般通常人であるのならば。それとも認識の上かな。
471: ニューノーマルの名無しさん 07/10(土)06:19 ID:CLvJtWGh0(4/5) AAS
つまり、状況が示すことはIDは簡単に偽装が可能となり、IPは現実の住所地とは異なりそれだけである一つの点を示すものではない。
475: ニューノーマルの名無しさん 07/10(土)06:24 ID:CLvJtWGh0(5/5) AAS
5ちゃんねるの書き込みからの人物の特定性におけるIDの役割は、当然に一人を示しておらず複数または偽装性を考慮しなければならない。
言い換えると、これはネットワーク上における個人性に帰着する。

小説で頭の悪い作家がIQ200の天才を描こうとすると、単に外形的事情の記述に留まりIQ200の内面性(思考形態)を描けないように、
ネットワーク上の個人性の偽装は、他人の住居に侵入しようともその当該人物にはなれない、との意味に似るのかな。

**名無しのひみつ** · 2021/07/10(土) 07:02:10.24

>今時のCPUには熱雑音を使ったハードウェア乱数生成器が載ってるから、それを使え

インテルのやつのだろうが、バックドアが仕掛けて無いとも限らない。
一見ランダムな物理乱数を生成しているようにみせて、カルペンスキーと
同様のことをしていないという保証はない。また検証してみておそらくそう
ではないと判断しても、特定のレジスターに特定のデータを書き込み、
また別の特定のレジスターに特定のデーターを書き込んだという行為を
したときにだけは、物理乱数ではない疑似乱数が生成されるというような
仕組みがないかどうかは、CPUの回路を解析して、マイクロプログラムを
解析して、どういう動作をCPUがするようになっているのかを全解析しな
ければならないから困難だ。たとえ回路に怪しいところがなくても、
CPUに割り込みが掛かってOSに制御が移ったときに、OSが悪さをして
物理乱数から読み取ったはずのデーターを疑似乱数で上書きしていない
かどうかを保証するのはとても困難だ。あるいは乱数レジスターの
内容をどこかにコピーをとって保存していないかなども。
　CPUやOSは複雑なので、いろいろと悪さをする余地がある。それを
見破るのは困難。数年前のインテルのCPUの”BUG"といわれてしこまれて
いたものも、その存在を見破るのは簡単ではなかったことからもわかる。

**名無しのひみつ** · 2021/07/10(土) 15:09:17.34

よ、よ、吉田君、カスペルスキーが大変じゃ～

**名無しのひみつ** · 2021/07/11(日) 11:53:27.79

どのみち今の暗号なんて量子コンピュータが進歩すれば一瞬で解読されんだろ
既にアメリカとかがビル丸ごと、みたいな巨大量子コンピュータ作ってんじゃねーの？

**名無しのひみつ** · 2021/07/11(日) 21:56:39.76

>>42
何を馬鹿なことを言ってるんだ？
捻ったパスワードDBがあちこちで流出してるだろ
ゆうめいなのではLinkedInとか

**名無しのひみつ** · 2021/07/12(月) 21:37:20.46

此処でも4KB書けるのに

passの上限設定が小さすぎるのが問題