Это восхитительно. Пакет управления паролями от Касперского в качестве источника энтропии (случайных событий) использовал местное время. В результате чего любой сгенерированный этим говном пароль был неслучайным, и взламывался на счёт “три”.
Я простой скубент, и то знаю, что источников энтропии надо применять несколько, и желательно использовать человека. Например, мерять время между нажатиями клавиш. Человек, как он ни бейся, не может повторять события абсолютно одинаково. На вебсервере прекрасно мерять время между запросами пользователей. Проблемы возникают на ненагруженных серверах, где внешних обращений мало. Поэтому неплохо иметь в качестве источника шума хардверные источники. Например, шум полупроводников — он квантовый, и даже с самыми современными приборами его невозможно предсказать. Криптографический сопроцессор (TPM), собственно, этим и занимается.
Я не думаю, что на Касперского работают бестолочи. Так что это не дурость, это хуже. Это сделано специально, чтобы в ресурсы, защищённые паролями, сгенерированными этой программой, Кто Надо, мог легко проникнуть.
Источник: https://donjon.ledger.com/kaspersky-password-manager/