Под последними обновлениями КМП мы оказываемся все под "куплом мюллера"

[***Leeloo*** 28]

Но что самое главное

..

Цитата

Ваши персональные данные хранятся локально на вашем компьютере в папке %SYSTEMDRIVE%\Users\%USERNAME%\AppData\Local\Kaspersky Lab\Kaspersky Password Manager и называются:

• storage.kvdb
• kpm_vault.edb

Вы реально верите этому,что они там храняться именно для нас пользователей?

[Umnik 1 278]

Не ясен контекст и не ясен вопрос.

[***Leeloo*** 28]

8 часов назад, Umnik сказал:

Не ясен контекст и не ясен вопрос.

Что не ясно? Какие персональные данные пользователя хранятся? Ещё не вопрос что они хранятся в якобы локальной папке пользователя,а контекст очень простой - это защита персональных данных пользователя,которые должны регулироваться юридическими правилами,а не лицензионным соглашением от компании.Хотя юристы компании должны это учитывать,чтобы не нарушить закон

[Ummitium 303]

Данные, наверное, зашифрованы?

[kmscom 2 286]

конечно зашифрованы, это локальная копия базы паролей, документов.

[Friend 1 246]

В справке к продукту все есть:  https://support.kaspersky.com/KPM/Win10.0/ru-RU/85882.htm

[Mrak 2 170]

18.06.2022 в 07:11, ***Leeloo*** сказал:

Хотя юристы компании должны это учитывать,чтобы не нарушить закон

Так у вас претензии к юридическому отделу? 

[Soft 1 505]

@***Leeloo*** а где они хранится должны, суть вашего вопроса вам хоть понятна? Вы даёте согласие на обработку, при этом это ваше локальное хранилище вашей же базы. 

[***Leeloo*** 28]

21.06.2022 в 15:33, kmscom сказал:

конечно зашифрованы, это локальная копия базы паролей, документов.

А что с облаком куда передаются данные пользователя?

 

23.06.2022 в 13:38, Soft сказал:

@***Leeloo*** а где они хранится должны, суть вашего вопроса вам хоть понятна? Вы даёте согласие на обработку, при этом это ваше локальное хранилище вашей же базы. 

Мне всё понятно,но есть нюанс.Кто имеет ещё доступ к облачному хранилищу,где храняться мои данные?

 

22.06.2022 в 21:15, Mrak сказал:

Так у вас претензии к юридическому отделу? 

Претензии? Разве я об этом говорила? Просто сделала свой вывод к ним

 

21.06.2022 в 18:56, Friend сказал:

В справке к продукту все есть:  https://support.kaspersky.com/KPM/Win10.0/ru-RU/85882.htm

Всё хорошо и понятно сказано в этой справке,но только с их стороны.Меня интересует другой вопрос с моей стороны.К примеру как оказываются персональные данные пользователей тех же Банков в открытом доступе,не говорю о еденичном случае,а именно о массовом.В результате которого появляются мошенники и этим пользуются.Касперский в этом не исключение.Если учитывать банковскую защиту с КасперскойюПоэтому вопрос: Кто имеет доступ к облачному сервису Касперского по мимо самих пользователей и насколько существует вероятность проникновения в такой сервис(облако)?

[Sapfira 608]

2 часа назад, ***Leeloo*** сказал:

Кто имеет ещё доступ к облачному хранилищу,где храняться мои данные?

Причем тут облачное хранилище, если папка %SYSTEMDRIVE%\Users\%USERNAME%\AppData\Local\Kaspersky Lab\Kaspersky Password Manager находится на вашем компьютере? И то, просто так в неё не зайти:

[Mrak 2 170]

3 часа назад, ***Leeloo*** сказал:

Претензии? Разве я об этом говорила? Просто сделала свой вывод к ним

Какой вывод? Они плохо работают/хорошо работают, у них тяжелая/легкая работа или ещё какой-то вывод?

[***Leeloo*** 28]

2 часа назад, Sapfira сказал:

Причем тут облачное хранилище, если папка %SYSTEMDRIVE%\Users\%USERNAME%\AppData\Local\Kaspersky Lab\Kaspersky Password Manager находится на вашем компьютере? И то, просто так в неё не зайти:

Странно.Когда переустанавливала Windows с чистого листа и после установки МП и активации мои данные появились.Так причём тут папка? Данные находятся в облаке и оттуда загрузились мои персональные данные...

 

1 час назад, Mrak сказал:

Какой вывод? Они плохо работают/хорошо работают, у них тяжелая/легкая работа или ещё какой-то вывод?

Что вы привязались...Мой вывод то что я сказала,а что я сказала?Это я у вас спрашиваю.Раз читаете меня не внимательно.Так причём тут то о чём вы мне тут перечисляете

[kmscom 2 286]

16 минут назад, ***Leeloo*** сказал:

Данные находятся в облаке и оттуда загрузились мои персональные данные...

синхронизировались, но вы кликните по сноске "забыли пароль" - все ваши данные исчезнут.

но судя по тому, как вы раздаете свои пароли направо и налево, то вполне ожидаемо, что 

4 часа назад, ***Leeloo*** сказал:

оказываются персональные данные пользователей тех же Банков в открытом доступе

 

23 минуты назад, ***Leeloo*** сказал:

Мой вывод то что я сказала,а что я сказала?Это я у вас спрашиваю.

вы спрашиваете, какой вывод вы сказали ?

[Umnik 1 278]

Кароч, давай разберёмся, как работают менеджеры паролей. Речь не про Каспера, а вообще.

• Есть хранилище паролей. Например, база данных, например sqlite - это вообще детали реализации
• Это хранилище шифруется на неком ключе
• Пользователь задаёт пароль для доступа к хранилищу

Это очень поверхностно и, по идее, должно быть понятно. Спускаемся ниже

• Хранилище паролей может быть зашифровано с учётом пользовательского пароля или без него. Выбор определяется, как правило, размерами хранилища и целевым устройством. Когда это маленькая база, то даже телефон не подавится. Когда данные большие или их много, то перешифрование будет дико дорогой операцией. Чтобы понимать, почему это важно. Если у тебя привычка менять пароль, скажем, раз в месяц, целевым устройством является телефончик на Андроиде и шифрованные данные весят, скажем, 8 Гигабайт. Твой телефон просто сдохнет на операции перешифрования. Потому что это одновременно несколько операций: создать новый контейнер, открыть старый и копировать из старого в новый, на лету дешифруя данные на старом ключе и шифруя на новом. Потому на телефончиках так никто не делает и данные шифруются на другом ключе, генерируемом специальными API операционной системы. Следовательно, если твоя система - плохой на палке в дешёвом китайском телефоне за тыщу рублей, очень высока опасность, что системный метод создатьБезопасныйРандомДляШифрованияСуперВажныхДанных() вернёт тебе просто цепочку нулей и этими нулями всё зашифруется. Так что да, если тебе важна безопасность своих данных, ты не должен никогда покупать дешёвые телефоны с АлиЭкспресс.
• При этом настоящий ключ шифрования шифруется уже  ключом, созданным на основе твоего пароля. То есть меняя мастер пароль, ты меняешь пароль для контейнера, в котором лежит настоящий ключ

Итак, выяснили, что типичная реализация такая:

• Шифруем контейнер на ключе, сгенерированном локально на устройстве
• Шифруем ключ на пароле пользователя

Теперь переходим к проблемам:

• Очень плохая среда может отдавать очень плохой ключ шифрования для контейнера. Это решается способами, зависящими от того, от чего мы скрываемся:
  • Если мы скрываемся от Васяна, то достаточно иметь нормальный телефон или компьютер с нормальной операционной системой
  • Если мы скрываемся от правительства США, Британии, Японии, Кореи, Китая или России, то нужно использовать свои устройства для генерации ключей, т.к. нельзя рассчитывать, что твой Intel или твой Exinos не создаёт очень хорошие ключи, но которые создатели этих процессоров не могут восстановить
• Плохой разработчик может использовать неправильные API для создания ключей. Я не буду показывать пальцем на тех, кто так делал. В итоге ключи будут предсказуемыми. То есть система тебе даёт API для генерации классных ключей, но разработчик просто не знает про их существование и дёргает привычные API, которые используют для примитивных вещей типа перетасовки буковок в предложении, а не для безопасности
• Плохой разработчик может вообще неправильно реализовать хранение ключа. Я не знаю, делал ли такую дичь хоть кто-то, потому что я её только что придумал, но в мире так много идиотов, что, возможно, кто-то и делал. В общем, разработчик может не шифровать ключ шифрования на твоём ключе, а просто валидировать, что ты ввёл правильный пароль и начинать дешифровку контейнера, при этом сам ключ будет лежать в открытом виде - бери не хочу
• Пользователь может ввести плохой пароль. Все нормальные разработчики всегда добавляют к пользовательскому паролю ещё свой хороший хвост, но этот хвост не является сверх тайной и может быть извлечён из приложения, что снова возвращает нас на плохой пароль пользователя. Потому атака контейнер с настоящим ключом, который шифрован на пароле пользователя, по-прежнему выгоднее атаки на сам контейнер с данными, т.к. тот, как правило, всё же шифрован очень хорошо на нормальном ключе, ведь его предоставила нормальная ОС, написанная нормальными людьми

Я описываю только те проблемы, которые связаны с шифрованием. Утечку пароля пользователя по схемам типа "подсмотрели" или "записали экран" не рассматриваю.

 

Итого, что мы получаем. Если шифрование сделано правильно и пользователь использует нормальный пароль в качестве мастер пароля, то контейнер можно хранить где угодно вообще, включая "облако" создателя приложения. Потому что стоимость взлома такого контейнера будет настолько дорога, что перекроет все деньги компании, которые они зарабатывают. Если же шифрование сделано плохо, то это ничем не отличается паролей на бумажке в кармане. Пока она в кармане - всё отлично. Как только вне кармана - всё пропало.

 

Резюмируя. Не доверяешь ЛК - не пользуйся. Доверяешь - пользуйся. У тебя никаких способов проверить, что ЛК делает всё правильно. Доверят наполовину нельзя - типа, пусть менеджер паролей их, но облако не их. Реши для себя, считаешь ли ты, что разработчики ЛК достаточно знакомы с азами шифрования данных в разных ОС и правильно выполняют все правила и прими конечное решение.

 

 

Перечитал текст и вижу, что сработала автоцензура. Там, где слово "плохой" выбивается из общего предложения, там было написано, на самом деле, г...но

Изменено 2 июля, 2022 пользователем Umnik