Почему Касперский не любит АйТишников

[Umnik]

20 minutes ago, Mrak said:

Мне принципиально знать какой конкретный пароль надо сменить, чтобы я не тратил своё время.

Если возможно, отсортируй по дате создания. Все пароли, которые созданы до конца апреля — плохие. Это с учётом, что ты всегда ставишь новые версии как только они вышли.

12 minutes ago, Friend said:

У любой программы могут быть ошибки

Да, это так. Но в данном случае это не ошибка, а непонимание разработчиков. Ну то есть можно понять, когда ошибочно реализовали какой-то алгоритм, снизив его эффективность. Это плохо, но хоть можно принять. Здесь же не ошибка реализации алгоритма, а полное отсутствие понимания, что такое менеджер паролей, в чём его назначение и как он должен работать. Есть такое слово — компетенция.

Знаешь, что самое печальное? Несколько лет назад ЛК в блоге публиковали статью, где кто-то провёл исследование, что лучше — ТЗ или деньги, при реализации какой-то фичи. И дали задачу сделать менеджер паролей. Разделили студентов на группы и в итоге выяснилось, что ТЗ больше, чем деньги, влияют на качество конечного продукта.

Вот, оказывается, к КПМ не смогли создать ТЗ, если автор кода даже не знает про то, что такое криптографически стойкий генератор. Я снова повторю это слово: компетенция.

 

21 minutes ago, Friend said:

Шансы что используют эту уязвимость против вас очень минимальны

Это не так работает.

Сейчас злоумышленники всего мира сгенерируют тонны паролей и обогатят словари для брутфорса. И их пароли будут заведомо такими же, как у реальных пользователей. Далее сделают ещё и радужные таблицы. Теперь утечка на каком-то сайте Х, где зареган Мрак, может привести к раскрытию его пароля, потому что в БД будет хеш (буквально единицы компаний знают про scrypt и вместо него используют sha хеши), который уже есть в радужной таблице. Возможно никто не будет ломать целенаправленно Мрака, его взломают просто потому что для этого ничего не надо делать — всё уже сделано тем человеком, который использовал не безопасный рандом.

15 minutes ago, ska79 said:

понадобится знать точное время создания пароля или учётной записи, если я правильно понял.

Это не способ атаки, это я описал, как оно проявляется. Как же реально это используют злоумышленники описано выше.

 

Но мало того, из-за того, что рандом не безопасный, можно восстановить пароль целиком, зная его часть. Потому что каждый следующий символ зависит от предыдущего. В том же KeePass каждый следующий символ генерируется всякий раз действительно случайно и не имеет никакой связи с предыдущим. То есть зная часть пароля, нельзя предсказать его другую часть. У ЛК — можно.

 

В той статье, на которую я дал ссылку, даже есть графики вероятности выпадения символов, хотя в реальности вероятность выпадения каждого должна быть такой же, как и любого другого.

[ska79]

3 часа назад, Umnik сказал:

Сейчас злоумышленники всего мира сгенерируют тонны паролей и обогатят словари для брутфорса. И их пароли будут заведомо такими же, как у реальных пользователей.

Вот поэтому я и "дорабатываю" пароли если использую генератор паролей хоть в том же Keepass

[Sapfira]

6 часов назад, Friend сказал:

 

Сейчас другие проблемы с расширением в браузере Firefox 89.0.2:

Разработчики знают о проблеме? А то тоже постоянно это выскакивает.

5 часов назад, Umnik сказал:

Если возможно, отсортируй по дате создания. Все пароли, которые созданы до конца апреля — плохие.

В программе нет возможности сортировки по дате или другим параметрам. В более старых версиях, вроде, была.

[Mrak]

7 часов назад, Umnik сказал:

Если возможно, отсортируй по дате создания. Все пароли, которые созданы до конца апреля — плохие.

С момента начала использования программы или только за весь апрель?

 

 

[Friend]

1 час назад, Sapfira сказал:

Разработчики знают о проблеме? А то тоже постоянно это выскакивает.

Они есть в этой теме, то есть знают   Обещали исправить проблему на следующей недели, надеюсь другой ошибки не возникнет, это проблема взаимодействия с другими продуктами Лаборатории Касперского.

7 часов назад, Umnik сказал:

В той статье, на которую я дал ссылку

Там написано, что уязвимость уже почти год назад исправили, просто только сейчас решили опубликовать информацию о ней.

[Umnik]

Да, действительно. Значит все пароли до октября 2019 года.

[Mrak]

14 часов назад, Umnik сказал:

Да, действительно. Значит все пароли до октября 2019 года.

С самого начала пользования программой и до 10.2019?

[Umnik]

Видимо да. Сомневаюсь, что сначала был правильный генератор, а потом его удалили.

[phantom]

Так в статье ТП ЛК сказано:

Цитата

мы обновили механизм генерации паролей и добавили уведомления о паролях, которые были сгенерированы уязвимой версией.

@Mrak было ли у вас такое уведомление?

[Mrak]

1 час назад, phantom сказал:

@Mrak было ли у вас такое уведомление?

Я не видел, но мог просто не обратить внимание ведь. 

[E.K.]

Девочки и мальчики!

Я вас всех очень люблю!

Но, наверное, надо переместить тему обсуждения в какое-то более подходящее место.

 

И всем удачной пятницы!

[kmscom]

Сообщение от модератора kmscom

Тема перемещена из раздела Задай вопрос Евгению Касперскому!

Всем удачной субботы 

[7Glasses]

07.07.2021 в 11:26, Friend сказал:

Сейчас другие проблемы с расширением в браузере Firefox 89.0.2:

до сих пор не поправили. бесит жутко это подлагивание. 

[Friend]

2 минуты назад, 7Glasses сказал:

до сих пор не поправили. бесит жутко это подлагивание.

Да, грустно очень   Временное решение: отключить Анти-баннер и Защиту от сбора данных в KIS|KTS

[sputnikk]

у ЛК есть онлайн генератор паролей?