Из-за бага Kaspersky Password Manager позволял генерировать слабые пароли

__В прошлом году разработчики Kaspersky Password Manager (KPM) попросили пользователей обновить свои пароли на более стойкие. Теперь специалисты Ledger Donjon (ИБ-подразделение компании Ledger, разрабатывающей крипокошельки) рассказали о том, почему это произошло, и какие проблемы они обнаружили в KPM некоторое время назад.

По словам исследователей, создаваемые с использованием времени пароли были весьма ограничены, и их можно было подобрать за несколько минут. Так, если атакующему было известно время создания конкретной учетной записи (что совсем нетрудно посмотреть на любом форуме),  диапазон вероятностей сильно сокращался, равно как и время, необходимое для брутфорса, который мог занять всего несколько секунд.

«Последствия [использования такого механизма] определенно были скверные: любой пароль мог быть взломан. Например, между 2010 и 2021 годом прошло 315619200 секунд, поэтому KPM может сгенерировать не более 315619200 паролей для заданного набора символов. Их перебор занимал всего несколько минут», — гласит отчет Ledger Donjon.

В период с октября по декабрь 2019 года разработчики представили ряд патчей для KPM (поскольку исходный патч для Windows работал некорректно), и в итоге проблему исправили в Windows, Android и iOS. В октябре 2020 года «Лаборатория Касперского» выпустила KPM 9.0.2 Patch M, уведомив пользователей о необходимости обновления некоторых слабых паролей на более надежные. Этой проблеме был присвоен идентификатор CVE-2020-27020, о котором компания рассказала в сообщении от апреля 2021 года.__

https://xakep.ru/2021/07/07/kaspersky-password-manager-bug/