Перейти к содержанию

Почему Касперский не любит АйТишников


AndrewMsk

Рекомендуемые сообщения

20 minutes ago, Mrak said:

Мне принципиально знать какой конкретный пароль надо сменить, чтобы я не тратил своё время.

Если возможно, отсортируй по дате создания. Все пароли, которые созданы до конца апреля — плохие. Это с учётом, что ты всегда ставишь новые версии как только они вышли.

12 minutes ago, Friend said:

У любой программы могут быть ошибки

Да, это так. Но в данном случае это не ошибка, а непонимание разработчиков. Ну то есть можно понять, когда ошибочно реализовали какой-то алгоритм, снизив его эффективность. Это плохо, но хоть можно принять. Здесь же не ошибка реализации алгоритма, а полное отсутствие понимания, что такое менеджер паролей, в чём его назначение и как он должен работать. Есть такое слово — компетенция.

Знаешь, что самое печальное? Несколько лет назад ЛК в блоге публиковали статью, где кто-то провёл исследование, что лучше — ТЗ или деньги, при реализации какой-то фичи. И дали задачу сделать менеджер паролей. Разделили студентов на группы и в итоге выяснилось, что ТЗ больше, чем деньги, влияют на качество конечного продукта.

Вот, оказывается, к КПМ не смогли создать ТЗ, если автор кода даже не знает про то, что такое криптографически стойкий генератор. Я снова повторю это слово: компетенция.

 

21 minutes ago, Friend said:

Шансы что используют эту уязвимость против вас очень минимальны

Это не так работает.

Сейчас злоумышленники всего мира сгенерируют тонны паролей и обогатят словари для брутфорса. И их пароли будут заведомо такими же, как у реальных пользователей. Далее сделают ещё и радужные таблицы. Теперь утечка на каком-то сайте Х, где зареган Мрак, может привести к раскрытию его пароля, потому что в БД будет хеш (буквально единицы компаний знают про scrypt и вместо него используют sha хеши), который уже есть в радужной таблице. Возможно никто не будет ломать целенаправленно Мрака, его взломают просто потому что для этого ничего не надо делать — всё уже сделано тем человеком, который использовал не безопасный рандом.

15 minutes ago, ska79 said:

понадобится знать точное время создания пароля или учётной записи, если я правильно понял.

Это не способ атаки, это я описал, как оно проявляется. Как же реально это используют злоумышленники описано выше.

 

Но мало того, из-за того, что рандом не безопасный, можно восстановить пароль целиком, зная его часть. Потому что каждый следующий символ зависит от предыдущего. В том же KeePass каждый следующий символ генерируется всякий раз действительно случайно и не имеет никакой связи с предыдущим. То есть зная часть пароля, нельзя предсказать его другую часть. У ЛК — можно.

 

В той статье, на которую я дал ссылку, даже есть графики вероятности выпадения символов, хотя в реальности вероятность выпадения каждого должна быть такой же, как и любого другого.

  • Спасибо (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 46
  • Создана
  • Последний ответ

Топ авторов темы

  • Mrak

    8

  • Umnik

    7

  • Friend

    7

  • kmscom

    4

3 часа назад, Umnik сказал:

Сейчас злоумышленники всего мира сгенерируют тонны паролей и обогатят словари для брутфорса. И их пароли будут заведомо такими же, как у реальных пользователей.

Вот поэтому я и "дорабатываю" пароли если использую генератор паролей хоть в том же Keepass

Ссылка на комментарий
Поделиться на другие сайты

6 часов назад, Friend сказал:

 

Сейчас другие проблемы с расширением в браузере Firefox 89.0.2:
KPM.thumb.png.53fb1dda77567562cabc51b6a4cb6408.png

Разработчики знают о проблеме? А то тоже постоянно это выскакивает.

5 часов назад, Umnik сказал:

Если возможно, отсортируй по дате создания. Все пароли, которые созданы до конца апреля — плохие.

В программе нет возможности сортировки по дате или другим параметрам. В более старых версиях, вроде, была.

Ссылка на комментарий
Поделиться на другие сайты

7 часов назад, Umnik сказал:

Если возможно, отсортируй по дате создания. Все пароли, которые созданы до конца апреля — плохие.

С момента начала использования программы или только за весь апрель?

 

 

Ссылка на комментарий
Поделиться на другие сайты

1 час назад, Sapfira сказал:

Разработчики знают о проблеме? А то тоже постоянно это выскакивает.

Они есть в этой теме, то есть знают ;)  Обещали исправить проблему на следующей недели, надеюсь другой ошибки не возникнет, это проблема взаимодействия с другими продуктами Лаборатории Касперского.

7 часов назад, Umnik сказал:

В той статье, на которую я дал ссылку

Там написано, что уязвимость уже почти год назад исправили, просто только сейчас решили опубликовать информацию о ней.

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Так в статье ТП ЛК сказано:

Цитата

мы обновили механизм генерации паролей и добавили уведомления о паролях, которые были сгенерированы уязвимой версией.

@Mrak было ли у вас такое уведомление?

Ссылка на комментарий
Поделиться на другие сайты

Девочки и мальчики!

Я вас всех очень люблю!

Но, наверное, надо переместить тему обсуждения в какое-то более подходящее место.

 

И всем удачной пятницы!

Ссылка на комментарий
Поделиться на другие сайты

07.07.2021 в 11:26, Friend сказал:

Сейчас другие проблемы с расширением в браузере Firefox 89.0.2:
KPM.thumb.png.53fb1dda77567562cabc51b6a4cb6408.png

до сих пор не поправили. бесит жутко это подлагивание. 

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

2 минуты назад, 7Glasses сказал:

до сих пор не поправили. бесит жутко это подлагивание.

Да, грустно очень :(  Временное решение: отключить Анти-баннер и Защиту от сбора данных в KIS|KTS

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

  • 2 недели спустя...

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • di.mailovich
      Автор di.mailovich
      Добрый день
      Обратил внимание что некоторые вендоры отказались от файерволла на Андройд в премиум версиях даже те у кого он был (аваст например) 
      Поясните пожалуйста вашу позицию. 
      Может быть бесполезность его без рут прав, или сложность установки правил для обычных пользователей или потому что толку от него нет кроме как резать рекламу блокируя выход в интернет некоторым приложениям или особенность именно операционной системы Андройд в которой нет острой необходимости в такой программе ? 
    • Solnepek7
      Автор Solnepek7
      Помогите пожалуйста, никак не могу найти майнер на ноутбуке. Почему думаю что майнер, потому что при включении диспетчера задач или process exp, ноут сразу затихает и вентиляторы не крутятся, как только диспетчер закрою, сразу большая активность. Сижу битый час общаюсь с DeepSeek, он там что то рекомендует, но не видит(я скрины ему кидал). Скачал SystemInformer (process hacker тот же), тут уже интереснее, при закрытии диспетчера cmd.exe грузит CPU до 33% и жрет 2.4гб памяти, но в дереве процессов не могу найти этот искомый файл что так грузит и запускается через команду. При открытии диспетчера process hacker сразу показывает что cpu в норме, 99% простаивает и файл закрывается. То есть при открытии диспетчера майнер закрывается, с помощью  process hacker не получается найти, банально не понимаю куда тыкать, да же с помощью нейрухи, deepseek иногда говорит несуществующие вкладки. Пришёл к реальным людям)
      Логи прикрепил, в безопасном режиме включал, всё тихо, шума нет, 99% простой системы. 3 раза сделал полную проверку касперским, не видит
      CollectionLog-2025.06.11-19.09.zip

    • MiStr
      Автор MiStr
      Май и июнь традиционно приносят участникам клуба хорошие новости. Во-первых, становится известным место празднования дня рождения клуба. (Спойлер: информация будет совсем скоро!) А, во-вторых, участники клуба получают приглашение на летний корпоратив "Лаборатории Касперского", посвящённый дню рождению компании. Публикуем информацию о том, как туда попасть.
      Когда и где?
      Корпоратив пройдёт в пятницу 4 июля 2025 года в Завидово (Тверская область). 
      Кто может попасть?
      Попасть на мероприятие может участник клуба, который накопил 10 000 клабов (количество накопленных клабов можно посмотреть здесь) или 5 000 баллов (количество накопленных баллов можно посмотреть здесь) и готов обменять их на возможность поучаствовать в праздновании дня рождения "Лаборатории Касперского".
      Как добраться?
      Проезд до Москвы и обратно не оплачивается. Трансфер из Москвы до места проведения мероприятия и обратно будет организован бесплатно. Во время мероприятия предоставляется безлимитная еда, напитки и развлечения. Кроме того, участники клуба смогут бесплатно переночевать с 4 на 5 июля 2025 года — будут представлены двухместные номера с раздельными кроватями.
      Какая программа?
      Программа традиционно насыщенная и крутая, но более детальной информацией и картой развлечений мы поделимся ближе к дате события.
      Когда нужно дать ответ?
      Клубу выделено 9 мест. Отправить заявку на участие в корпоративе необходимо в эту тему не позднее 12 июня 2025 года. В случае большого количества заявок места будут распределены администрацией клуба. Преимущество будет отдано наиболее активным участникам рейтинговой системы.
      Какие данные необходимо предоставить?
      В случае одобрения заявки администрацией клуба необходимо не позднее 15 июня 2025 года отправить письмо на имя @dkhilobok с предоставлением следующей информации: ник на форуме клуба, ФИО (полностью), номер телефона.
      Какие нюансы?
      Клабы за участие в праздновании дня рождения "Лаборатории Касперского" по выбору участника списываются либо с завершённого сезона рейтинговой системы 2024-2025, либо с нового сезона 2025-2026. После списания клабы или баллы не возвращаются. При даче согласия рекомендуем учитывать, что при желании поехать на главное событие лета — день рождения клуба — после списания клабов за участие в корпоративе "Лаборатории Касперского" в рейтинге должно остаться не менее 5 000 клабов.
    • KL FC Bot
      Автор KL FC Bot
      Отказаться от паролей и цифровых кодов по SMS, подтверждать вход в приложения и на сайты простым отпечатком пальца или улыбкой в камеру — именно так звучит обещание passkeys. А еще passkeys, в отличие от паролей, устойчивы к краже, поэтому новости об утечках вроде недавней, на 16 миллиардов учетных записей, можно будет читать, не хватаясь за сердце.
      Под разными названиями этот способ входа на сайты настойчиво рекомендуют WhatsApp, Xbox, Microsoft 365, YouTube и десятки других популярных сервисов. Но как выглядит использование пасскеев, они же ключи доступа, они же ключи входа, на практике? Мы подробно писали об этом в приложении к аккаунтам Google, а сегодня разберем, как поддерживают passkeys другие сервисы и платформы. В первом посте мы расскажем об основах использования passkeys на одном или нескольких устройствах, а во втором — разберем более сложные случаи, когда нужно войти в свой аккаунт на чужом компьютере, использовать Linux или же хранить ключи доступа на аппаратном брелоке-токене.
      Что такое passkey
      Passkey — это уникальный цифровой ключ входа, созданный для конкретного сайта или приложения. Он безопасно хранится на вашем устройстве: смартфоне, компьютере или специальном USB-брелоке (аппаратном токене) вроде YubiKey или Google Titan Security Key. В момент логина ваше устройство с помощью биометрии или ПИН-кода проверяет, что входите действительно вы. После этого оно отправляет сайту защищенный ответ, созданный на базе этого уникального ключа. Этот механизм хорошо защищает от кражи учетных записей, возможных при использовании паролей, обоими популярными способами — и через фишинговые атаки, и через взлом сайтов. Passkeys работают на устройствах Apple, Google и Microsoft, а при использовании облачной синхронизации в теории доступны на всех ваших устройствах. Подробнее о внутреннем устройстве passkeys — в предыдущем посте про ключи доступа.
       
      View the full article
    • KL FC Bot
      Автор KL FC Bot
      Интернет огромен и забрести в нем туда, куда не нужно, — очень легко. Особенно если ты ребенок. Поэтому так важно помогать свои детям ориентироваться в киберпространстве и направлять их в мир доступного и понятного контента. Но как разобраться, что хорошо, а что плохо, если сам слабо ориентируешься в детском контенте?
      На помощь приходит приложение Kaspersky Safe Kids — с его помощью мы собрали статистику за целый год и теперь готовы любому взрослому ответить на вопрос «а что мой ребенок делает в Интернете?».
      Эксперты «Лаборатории Касперского» провели исследование и выяснили, что дети ищут в Сети и на YouTube, какие приложения используют на своих смартфонах, какие игры любят, какую музыку слушают и каких блогеров смотрят. В полной версии отчета вы можете найти ответы на эти и другие связанные вопросы.
      Ищут brainrot-мемы
      Мы выяснили, что категория «Мемы» (4,87%) — в топе контента, который дети ищут на YouTube. Да, в общем списке запросов ожидаемо лидируют музыка (21,11%) и блогеры (17,17%), но мемы (4,87%) следуют прямо за мультиками (6,19%). Что касается вкуса детей в мемах, то они довольно-таки специфичны. Прямо сейчас у детей по всему миру очень популярен brainrot-контент.
      Мемы Italian Brainrot сейчас — номер один у детей всего мира
      Если вы активный пользователь TikTok, то, скорее всего, вас не удивит трехногая акула в кроссовках или крокодил в виде бомбардировщика, а на вопрос «кто сильнее: Tralalero Tralala или Tung Tung Tung Sahur?» вы уверенно назовете своего фаворита. А если вы читаете эти строчки и не поняли ни слова, то объясняем: это главные действующие лица новых brainrot-мемов. Они пришли на смену скибиди туалетам, и их… любят дети по всему миру!
       
      View the full article

×
×
  • Создать...