Size: a a a

2021 July 06

AK

Alex Kanunnikov in WebSec/LifeSec
Ну так если машина скомпроментирована, то и крипто не поможет
источник

AK

Alex Kanunnikov in WebSec/LifeSec
А если не скомпроментирована - то и math.random норм
источник

M

MaxGraey in WebSec/LifeSec
То есть на двоих примерно 1356$ без учета жилья. Стольео же примерно месяц аренды не в центре 1й-2й комнатной квартиры, итого 2800$. При том что получать будешь 11500$
источник

M

MaxGraey in WebSec/LifeSec
Эмм, вы точно читали статью? Там гляньте на гистограммы вероятностей
источник

M

MaxGraey in WebSec/LifeSec
Кстати п знаете сколько зарабатывают ученые вирусологи в НИИ "Вектор»?
источник

M

MaxGraey in WebSec/LifeSec
Аж 14556 рублей в месяц!
Upd: Это в прошлом году, в этом подняли до 20000 =)
источник
2021 July 07

НС

Никита Сковорода... in WebSec/LifeSec
источник

НС

Никита Сковорода... in WebSec/LifeSec
источник

НС

Никита Сковорода... in WebSec/LifeSec
@maxgraey смотри что
источник

НС

Никита Сковорода... in WebSec/LifeSec
> Its single source of entropy was the current time

> It means every instance of Kaspersky Password Manager in the world will generate the exact same password at a given second.

> For example, there are 315619200 seconds between 2010 and 2021, so KPM could generate at most 315619200 passwords for a given charset. Bruteforcing them takes a few minutes.

> It is quite common that Web sites or forums display the creation time of accounts. Knowing the creation date of an account, an attacker can try to bruteforce the account password with a small range of passwords (~100) and gain access to it.
источник

AK

Alex Kanunnikov in WebSec/LifeSec
На сколько я понял - это не про веб-версию
источник

M

MaxGraey in WebSec/LifeSec
А в веб версии все еще хуже =) Там все тоже самое, только вместо Mersenne Twister (mt19937) из boost используется обычный Math.random (xorshift128+)
источник

M

MaxGraey in WebSec/LifeSec
А еще там seed везде 32-битный
источник

AK

Alex Kanunnikov in WebSec/LifeSec
Не понимаю почему это хуже по сравнению с десктопом, в веб версии наоборот нет привязки к unix timestamp, энтропия страдает, но это не 100 паролей подобрать
источник

M

MaxGraey in WebSec/LifeSec
Mersenne Twister имеет хотя бы лавинный эффект нормальный + честные 64-бит, а не 53 бита в случае с Math.random. Но вообще оба источника энтропии поганые, я думаю это и так всем ясно
источник

M

MaxGraey in WebSec/LifeSec
Там в статье прототип написан который брутфорсит все за примерно 2 минуты =) Есть еще randcrack как раз для быстрого подбора seed для PRNG
источник

AK

Alex Kanunnikov in WebSec/LifeSec
Ну прототип там как раз для десктопной версии работает
источник

AK

Alex Kanunnikov in WebSec/LifeSec
Не увидел упоминания что это и к паролям из веб-версии применимо
источник

AK

Alex Kanunnikov in WebSec/LifeSec
Но вообще это конечно диковато, они же какие-то внутренние аудиты должны проходить, а по факту воздухом торгуют
источник

M

MaxGraey in WebSec/LifeSec
Да судя по тому как здесь все грудью встали на защиту лаборатории Касперского, они молодцы, это все русофобия просто 😉
источник