Comments 7
Есть ли у нас генерация стойкого пароля? Лучше! У нас есть анимация имитации генерации пароля!
Фейспалм просто
как обнаружили в 2019 году уязвимость
была исправлена разработчиками после получения информации от Ledger Donjon в 2020 году.
Звучит так, словно Ledger Donjon целый год торговали 0day, и только потом решили сообщить об ошибке. А в реальности они сообщили в 2019, тогда это и было исправлено. А в 2020 добавили в утилиту сообщение о необходимости повторной генерации паролей, которые были уязвимы.
В компании, у которой основной продукт это искалка данных в памяти по сигнатурам, вы говорите о аудите безопасности. Когда через их же процесс элевейтят права вирусы. Все таки не стоит доверять свой секурити тем у кого это не профильное занятие.
Там было такое "при использовании настроек низкой сложности". Да, не очень красиво, но в конце концов, низкая сложность для меня ассоциируется с потенциальной уязвимостью. Один и тот же юзер не мог сгенерить 2 раза один и тот же пароль - уже хорошо. Допустим, слили базу и - OMFG - у двух пользователей одинаковый хэш не из словаря. У 2 из 100млн записей. Ну да, прям уязвимость-уязвимость. То что у 10к пользователей одинаковый хэш словарного MyPassword0 - фигня, конечно же.
Я, кстати не понял, где в оригинале по ссылке "при использовании настроек низкой сложности".
Там главная уязвимость не в возможности одинаковых паролей у двух пользователей, а в том, что количество секунд за годы с выхода программы сильно меньше чем все возможные комбинации 12ти символов. Можно тупо нагенерировать по их алгоритму паролей и использовать как словарь для перебора. А если знать примерное время когда пользователь генерировал пароль - очень сильно сократить этот словарь.
Эксперты рассказали, как в 2019 году нашли уязвимость генерации паролей в Kaspersky Password Manager