Перейти к содержанию

Восстановление паролей: верный подход


Рекомендуемые сообщения

Все советуют придумывать сложные и уникальные пароли для каждого сервиса, которым вы пользуетесь. Но сложные пароли трудно запомнить, что может привести к крайне неприятной ситуации, когда вы зашифровали что-то важное с паролем, который потом забыли. Обычно восстановление пароля доступно только для менее защищенных (то есть не шифрующих данные) сервисов. Мы нашли решение, которое позволяет восстановить данные в такой ситуации, не снижая уровня их конфиденциальности.



Читать далее >>
Ссылка на комментарий
Поделиться на другие сайты

@Денис-НН, что именно не понятно?

Как это работает.  

Вот есть у меня кучка крутых порнофайлов. Беру я winrar и создаю архив с шифрованием. Забываю пароль. Как мне его восстановить?

Или надо до запуска winrar-а установить некое приложение от ЛК, ввести туда логин, пароль, потом ввести тот-же самый пароль в winrar. Прекрасно, тогда это приложение, согласно рекламе, при попытке восстановить забытый пароль выдаст мне "запасной ключ" Какие манипуляции нужно произвести с этим "запасным ключём" чтобы расшифровать мои файлы?

 

Возможно, это решение применимо в узкоограниченном варианте - когда данные шифруются с использованием продуктов ЛК (кристалл и что-то у корпоративщиков)? Тогда надо указывать об ограниченности  применения данной технологии.

 

P.S. Брутфорс и квантовые компьютеры единственная надежда.

Изменено пользователем Денис-НН
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Посмотрим далее. Предполагаю, что для шифрования данных используется некий софт от ЛК. Типа почившего криптосторайдж. Реинкарнация значит.

При создании зашифрованных данных создаётся основной ключ, это классика жанра, и новинка - запасной ключ по патенту от ЛК, Внимание - запасной ключ создаётся не на основе пароля, придуманного и вводимого пользователем, а на основе некого случайного числа. Внимательно смотрим презентацию.

Теперь самое интересное - при потере пароля присылается запасной ключ, созданный на основе случайного числе, и этот ключ расшифровывает записи. Это как! Любой ключ может расшифровать запись? Тогда где защита, 


очередная бестолковая игрушка от ЛК лучше бы дыры латали в продукте чем на пустяки силы тратить

Прямо и возразить нечего. Катастрофа с переходом на windows 8/1 а тут время на такую ерунду тратится.

post-12017-0-43973600-1384493469_thumb.png

post-12017-0-51700400-1384493477_thumb.png

Изменено пользователем Денис-НН
Ссылка на комментарий
Поделиться на другие сайты

Теперь самое интересное - при потере пароля присылается запасной ключ, созданный на основе случайного числе, и этот ключ расшифровывает записи. Это как! Любой ключ может расшифровать запись? Тогда где защита, 

 

ключ  создается при шифровании данного материала, под который подбирается  случайные числа во время шифрования, через продукт ЛК?

или я что то не так понимаю?

Изменено пользователем Pomka.
Ссылка на комментарий
Поделиться на другие сайты

Речь о каком ключе? Как я понял в работе два ключа. Потому что выражение "запасной ключ" не означает копию вашего ключа, помещённого в облачное хранилище, да и на картинке их два - основной и запасной.

Ссылка на комментарий
Поделиться на другие сайты

Надо дождаться разъяснения от разработчиков. Пока что мне непонятно как восстановить касперским доступ к, например, учётной записи тут на форуме, если забыт пароль. :) Чем поможет само по себе название почтового ящика и дополнительные цифры? 

Ссылка на комментарий
Поделиться на другие сайты

Мне без контекста тоже не понятно, о чем речь. Но в целом этот механизм описывает уже применяемый на AT WM портале метод. Если пользователь забыл пароль от KIS4A, то может восстановить его на AT WM.

Ссылка на комментарий
Поделиться на другие сайты

Да общая идея вроде понятна. Создаётся аккаунт жёстко связанный с эл.почтой и свойствами железа, на него закидывается копия ключа. 

Но вот презентация вообще ни о чём. Что за продукт описывается, как работает, как создаются и хранятся пароли, сколько ключей -  тёмный лес. 

Ссылка на комментарий
Поделиться на другие сайты

ну презентация для лохов а мы тут все умные выпендриваемся :updown:  :haha:  :hey:


 Создаётся аккаунт жёстко связанный с эл.почтой и свойствами железа,

блин если по железу то жесть

а если я с другого компа захожу и восстанавливаю пароль а вдруг комп сгорел то что все давай до свидания?

 

 

короче шляпу нам какую то тут  KL FC Bot запилил

Изменено пользователем Pomka.
  • Улыбнуло 5
Ссылка на комментарий
Поделиться на другие сайты

  • 1 year later...

Всем доброго времени суток.

Как восстановить пароль к настройкам самого Касперского. Надо продлевать лицензию, а детский бук был с настройками... Каспер требует для ввода ключа сначала пароль к настройкам. ТехПоддержка сегодня не работает...

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • SDDdo
      От SDDdo
      Здравствуйте! Есть внешний HDD диск. Во время загрузки файлов на этот диск произошло непреднамеренное отключение диска из USB разъема. При повторном подключении диска, система не видит диск в проводнике, в диспетчере устройств диск отображается, но с другим именем. В управлении дисками при попытке инициализировать диск выдает ошибку CRC. Возможно ли решить данную проблему своими силами?


    • adminuniscan
      От adminuniscan
      Не пускает в вебморду 
       
      Как сбросить пароль через консоль сервера?
    • VadimA
      От VadimA
      Приветствую всех.
      Возникла необходимость создания плана аварийного восстановления на случай выхода из строя основного сервера KSC.
      Кто нибудь делал? Поделитесь соображения, а лучше сразу планом 😃
    • tr01
      От tr01
      Добрый день
      Подскажите, пожалуйста, сможете ли вы помочь в ситуации, если сервер в зломали и упаковали файлы в архив rar?После этого был Backdoor, но вроде бы уже удален антивирусом, восстановить файлы с диска не получается (затерты архивами). 
      Addition.txt FRST.txt отчет.txt пароль к архиву - копия (72) — копия — копия.txt
    • KL FC Bot
      От KL FC Bot
      Требования, которые онлайн-сервисы предъявляют при проверке своих пользователей, — будь то длина пароля, обязательное указание номера телефона или необходимость биометрической проверки с подмигиванием, зачастую регулируются индустриальными стандартами. Одним из важнейших документов в этой сфере является NIST SP 800-63, Digital Identity Guidelines, разработанный Национальным институтом стандартов и технологий США. Требования этого стандарта обязательны для выполнения всеми государственными органами страны и всеми их подрядчиками, но на практике это означает, что их выполняют все крупнейшие IT-компании и действие требований ощущается далеко за пределами США.
      Даже организациям, которые не обязаны выполнять требования NIST SP 800-63, стоит глубоко ознакомиться с его обновленными требованиями, поскольку они зачастую берутся за основу регуляторами в других странах и индустриях. Более того, свежий документ, прошедший четыре раунда публичных правок с индустриальными экспертами, отражает современный взгляд на процессы идентификации и аутентификации, включая требования к безопасности и конфиденциальности, и с учетом возможного распределенного (федеративного) подхода к этим процессам. Стандарт практичен и учитывает человеческий фактор — то, как пользователи реагируют на те или иные требования к аутентификации.
      В новой редакции стандарта формализованы понятия и описаны требования к:
      passkeys (в стандарте названы syncable authenticators); аутентификации, устойчивой к фишингу; пользовательским хранилищам паролей и доступов — кошелькам (attribute bundles); регулярной реаутентификации; сессионным токенам. Итак, как нужно аутентифицировать пользователей в 2024 году?
      Аутентификация по паролю
      Стандарт описывает три уровня гарантий (Authentication Assurance Level, AAL), где AAL1 соответствует самым слабым ограничениям и минимальной уверенности в том, что входящий в систему пользователь — тот, за кого себя выдает. Уровень AAL3 дает самые сильные гарантии и требует более строгой аутентификации. Только на уровне AAL1 допустим единственный фактор аутентификации, например просто пароль.
       
      View the full article
×
×
  • Создать...