Моя безопасность

Heise Security опубликовало прекрасную историю об уязвимости продукта, прошедшего сертификацию FIPS 140-2.Сертификация FIPS-140-2 определяет требования к криптографическим подсистемам как в части их физической защиты, так и собственно к их функционалу, процедуре управления ключами, аутентификации и т.п.
Продукт, о котором идет речь - USB-флешка Stealth MXP компании MXI Security, выполняющая шифрование данных с использованием алгоритма AES и имеющая считыватель отпечатка пальца для реализации многофакторной аутентификации.
Казалось бы, тут мы имеет стопроцентное попадание под требования стандарта и успешное прохождение сертификации по уровню 2 гарантирует нам полную сохранность данных.
Правильно?! Нет!Как обнаружили специалисты Heise Security, программное обеспечение, выполняющее аутентификацию пользователя, когда тот подключает флешку, загружает в оперативную память компьютера хеши текущего (и, возможно, предыдущих) паролей, используемых для аутентификаци.
Эти хеши не имеют salt и потому уязвимы для rainbow-атаки.Итого, продукт прошел сертификацию, получил бумагу, на его безопасности это,видимо, никак не сказалось.
Хочу ли я сказать, что такие сертификации бесполезны? Пожалуй, нет, потому что при их отсутствии ошибки могли бы быть еще более устрашающими (хотя уж куда больше? ;) ), но полностью доверять их безопасности, увы, нельзя.