AK
Ну так если машина скомпроментирована, то и крипто не поможет
Size: a a a
2021 July 06
AK
А если не скомпроментирована - то и math.random норм
M
То есть на двоих примерно 1356$ без учета жилья. Стольео же примерно месяц аренды не в центре 1й-2й комнатной квартиры, итого 2800$. При том что получать будешь 11500$
M
Эмм, вы точно читали статью? Там гляньте на гистограммы вероятностей
M
Кстати п знаете сколько зарабатывают ученые вирусологи в НИИ "Вектор»?
M
Аж 14556 рублей в месяц!
Upd: Это в прошлом году, в этом подняли до 20000 =)
Upd: Это в прошлом году, в этом подняли до 20000 =)
2021 July 07
НС
@maxgraey смотри что
НС
> Its single source of entropy was the current time
> It means every instance of Kaspersky Password Manager in the world will generate the exact same password at a given second.
> For example, there are 315619200 seconds between 2010 and 2021, so KPM could generate at most 315619200 passwords for a given charset. Bruteforcing them takes a few minutes.
> It is quite common that Web sites or forums display the creation time of accounts. Knowing the creation date of an account, an attacker can try to bruteforce the account password with a small range of passwords (~100) and gain access to it.
> It means every instance of Kaspersky Password Manager in the world will generate the exact same password at a given second.
> For example, there are 315619200 seconds between 2010 and 2021, so KPM could generate at most 315619200 passwords for a given charset. Bruteforcing them takes a few minutes.
> It is quite common that Web sites or forums display the creation time of accounts. Knowing the creation date of an account, an attacker can try to bruteforce the account password with a small range of passwords (~100) and gain access to it.
AK
На сколько я понял - это не про веб-версию
M
А в веб версии все еще хуже =) Там все тоже самое, только вместо Mersenne Twister (mt19937) из boost используется обычный Math.random (xorshift128+)
M
А еще там seed везде 32-битный
AK
Не понимаю почему это хуже по сравнению с десктопом, в веб версии наоборот нет привязки к unix timestamp, энтропия страдает, но это не 100 паролей подобрать
M
Mersenne Twister имеет хотя бы лавинный эффект нормальный + честные 64-бит, а не 53 бита в случае с Math.random. Но вообще оба источника энтропии поганые, я думаю это и так всем ясно
M
Там в статье прототип написан который брутфорсит все за примерно 2 минуты =) Есть еще randcrack как раз для быстрого подбора seed для PRNG
AK
Ну прототип там как раз для десктопной версии работает
AK
Не увидел упоминания что это и к паролям из веб-версии применимо
AK
Но вообще это конечно диковато, они же какие-то внутренние аудиты должны проходить, а по факту воздухом торгуют
M
Да судя по тому как здесь все грудью встали на защиту лаборатории Касперского, они молодцы, это все русофобия просто 😉