Перейти к содержанию

Почему Касперский не любит АйТишников


Рекомендуемые сообщения

20 minutes ago, Mrak said:

Мне принципиально знать какой конкретный пароль надо сменить, чтобы я не тратил своё время.

Если возможно, отсортируй по дате создания. Все пароли, которые созданы до конца апреля — плохие. Это с учётом, что ты всегда ставишь новые версии как только они вышли.

12 minutes ago, Friend said:

У любой программы могут быть ошибки

Да, это так. Но в данном случае это не ошибка, а непонимание разработчиков. Ну то есть можно понять, когда ошибочно реализовали какой-то алгоритм, снизив его эффективность. Это плохо, но хоть можно принять. Здесь же не ошибка реализации алгоритма, а полное отсутствие понимания, что такое менеджер паролей, в чём его назначение и как он должен работать. Есть такое слово — компетенция.

Знаешь, что самое печальное? Несколько лет назад ЛК в блоге публиковали статью, где кто-то провёл исследование, что лучше — ТЗ или деньги, при реализации какой-то фичи. И дали задачу сделать менеджер паролей. Разделили студентов на группы и в итоге выяснилось, что ТЗ больше, чем деньги, влияют на качество конечного продукта.

Вот, оказывается, к КПМ не смогли создать ТЗ, если автор кода даже не знает про то, что такое криптографически стойкий генератор. Я снова повторю это слово: компетенция.

 

21 minutes ago, Friend said:

Шансы что используют эту уязвимость против вас очень минимальны

Это не так работает.

Сейчас злоумышленники всего мира сгенерируют тонны паролей и обогатят словари для брутфорса. И их пароли будут заведомо такими же, как у реальных пользователей. Далее сделают ещё и радужные таблицы. Теперь утечка на каком-то сайте Х, где зареган Мрак, может привести к раскрытию его пароля, потому что в БД будет хеш (буквально единицы компаний знают про scrypt и вместо него используют sha хеши), который уже есть в радужной таблице. Возможно никто не будет ломать целенаправленно Мрака, его взломают просто потому что для этого ничего не надо делать — всё уже сделано тем человеком, который использовал не безопасный рандом.

15 minutes ago, ska79 said:

понадобится знать точное время создания пароля или учётной записи, если я правильно понял.

Это не способ атаки, это я описал, как оно проявляется. Как же реально это используют злоумышленники описано выше.

 

Но мало того, из-за того, что рандом не безопасный, можно восстановить пароль целиком, зная его часть. Потому что каждый следующий символ зависит от предыдущего. В том же KeePass каждый следующий символ генерируется всякий раз действительно случайно и не имеет никакой связи с предыдущим. То есть зная часть пароля, нельзя предсказать его другую часть. У ЛК — можно.

 

В той статье, на которую я дал ссылку, даже есть графики вероятности выпадения символов, хотя в реальности вероятность выпадения каждого должна быть такой же, как и любого другого.

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 46
  • Created
  • Последний ответ

Top Posters In This Topic

  • Mrak

    8

  • Umnik

    7

  • Friend

    7

  • kmscom

    4

Top Posters In This Topic

Popular Posts

Наша стратегия - что каждый имеет право на безопасность. И для этого мы успеваем создавать функции для всех - и простые, и специальные айтишные. Тот же быстрый поиск и подстановка паролей по хоткею. Х

Ой-ёй, эге-гей! Похоже, что ваши дискуссии чуть вышли немного за рамки темы, заранее обозначенной.   А тем временем был я в Ханты-Мансийске, где была встреча и выступление в местном Уни

Ну как, случился удар? https://donjon.ledger.com/kaspersky-password-manager/ Краткая суть: менеджер паролей использовал не безопасный генератор, а значит все пароли, сгенерированные разными польз

Posted Images

3 часа назад, Umnik сказал:

Сейчас злоумышленники всего мира сгенерируют тонны паролей и обогатят словари для брутфорса. И их пароли будут заведомо такими же, как у реальных пользователей.

Вот поэтому я и "дорабатываю" пароли если использую генератор паролей хоть в том же Keepass

Ссылка на сообщение
Поделиться на другие сайты
6 часов назад, Friend сказал:

 

Сейчас другие проблемы с расширением в браузере Firefox 89.0.2:
KPM.thumb.png.53fb1dda77567562cabc51b6a4cb6408.png

Разработчики знают о проблеме? А то тоже постоянно это выскакивает.

5 часов назад, Umnik сказал:

Если возможно, отсортируй по дате создания. Все пароли, которые созданы до конца апреля — плохие.

В программе нет возможности сортировки по дате или другим параметрам. В более старых версиях, вроде, была.

Ссылка на сообщение
Поделиться на другие сайты
7 часов назад, Umnik сказал:

Если возможно, отсортируй по дате создания. Все пароли, которые созданы до конца апреля — плохие.

С момента начала использования программы или только за весь апрель?

 

 

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, Sapfira сказал:

Разработчики знают о проблеме? А то тоже постоянно это выскакивает.

Они есть в этой теме, то есть знают ;)  Обещали исправить проблему на следующей недели, надеюсь другой ошибки не возникнет, это проблема взаимодействия с другими продуктами Лаборатории Касперского.

7 часов назад, Umnik сказал:

В той статье, на которую я дал ссылку

Там написано, что уязвимость уже почти год назад исправили, просто только сейчас решили опубликовать информацию о ней.

Ссылка на сообщение
Поделиться на другие сайты
14 часов назад, Umnik сказал:

Да, действительно. Значит все пароли до октября 2019 года.

С самого начала пользования программой и до 10.2019?

Ссылка на сообщение
Поделиться на другие сайты

Так в статье ТП ЛК сказано:

Цитата

мы обновили механизм генерации паролей и добавили уведомления о паролях, которые были сгенерированы уязвимой версией.

@Mrak было ли у вас такое уведомление?

Ссылка на сообщение
Поделиться на другие сайты

Девочки и мальчики!

Я вас всех очень люблю!

Но, наверное, надо переместить тему обсуждения в какое-то более подходящее место.

 

И всем удачной пятницы!

Ссылка на сообщение
Поделиться на другие сайты
Сообщение от модератора kmscom
Тема перемещена из раздела Задай вопрос Евгению Касперскому!

Всем удачной субботы :)

Ссылка на сообщение
Поделиться на другие сайты
07.07.2021 в 11:26, Friend сказал:

Сейчас другие проблемы с расширением в браузере Firefox 89.0.2:
KPM.thumb.png.53fb1dda77567562cabc51b6a4cb6408.png

до сих пор не поправили. бесит жутко это подлагивание. 

Ссылка на сообщение
Поделиться на другие сайты
2 минуты назад, 7Glasses сказал:

до сих пор не поправили. бесит жутко это подлагивание.

Да, грустно очень :(  Временное решение: отключить Анти-баннер и Защиту от сбора данных в KIS|KTS

Ссылка на сообщение
Поделиться на другие сайты
  • 2 weeks later...

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.


×
×
  • Создать...