15 августа, 2014

SuperGenPass — почему это по-прежнему небезопасно

Посмотрим, что нам предлагает SuperGenPass:
SuperGenPass is a different kind of password solution. Instead of storing your passwords on your hard disk or online—where they are vulnerable to theft and data loss—SuperGenPass uses a hash algorithm to transform a master password into unique, complex passwords for the Web sites you visit.
Нигде не хранить пароли, лишь использовать алгоритм хеширования для генерации уникальных паролей. Оч клево! Посмотрим, что происходит на самом деле:


На одном домене по одному и тому же мастер-паролю сгененерируется один и тот же "уникальный" пароль. То есть уровень надежности генерируемого пароля абсолютно такой же, как и у мастер-пароля. Более того, узнав мастер-пароль, злоумышленник сможет увести все аккаунты, пароли на которых были сгенерированы при помощи данной утилиты. Ещё раз: 
Злоумышленник введет мастер-пароль "qwerty" и получит пароль вида "i8e112y9Fz" на целевом домене. И все, кто имел данный простой мастер-пароль будут уязвимы.