Прекрасно

[scif_yar]

Пакет управления паролями от Касперского в качестве источника энтропии (случайных событий) использовал местное время. В результате чего любой сгенерированный этим говном пароль был неслучайным, и взламывался на счёт “три”.

So the seed used to generate every password is the current system time, in seconds. It means every instance of Kaspersky Password Manager in the world will generate the exact same password at a given second.

The consequences are obviously bad: every password could be bruteforced. For example, there are 315619200 seconds between 2010 and 2021, so KPM could generate at most 315619200 passwords for a given charset. Bruteforcing them takes a few minutes.

https://donjon.ledger.com/kaspersky-password-manager/

Comments

[elglin]

Честно говоря, это долбаный позор. Про то, что использование системного времени как random seed - это фу, я читал еще лет десять назад. Ну и на винде, я думаю, есть аналог /dev/random , который собирает вполне себе системную энтропию.
Не то, чтобы я не использовал системное время как random seed, но это ж было в наколеночных поделиях, не в контексте реальной безопасности, ну и я как-то не претендую на экспертизу в области секурности, криптографии и вот этого всего.

[scif_yar]

>>Честно говоря, это долбаный позор.
-
Скорее это очередное доказательство, что каспер работает на кого надо

[gnawer]

При выборе между злым умыслом и тупостью, дешевле выбирать тупость. Иначе появляется теория заговора.

[scif_yar]

при работе с госструктурами и приближенными к ним имеет смысл рассматривать любую активность как часть плана по контролю и изьятию денег. Это их работа

[thagastan]

Очаровательно!