加密服务提供商 Virgil Security, Inc. 发布了一份报告,引起了人们对 Telegram Passport 安全性的担忧。
Telegram Passport 是 Telegram 上个月引入的最新功能,允许用户上传个人身份证件,如护照,身份证和驾驶执照,以存储在 Telegram 云中。这些文件都是加密的,以便用户可以在不泄露其个人数据的情况下,在第三方服务上验证身份。
然而,Virgil 公司认为这个功能根本不安全。
首先,Telegram 使用安全散列算法 2 (SHA-512),在加密方面很弱。Virgil 公司解释说,为了保护密码,黑客应该花更多的时间来猜测每个密码。
现在是 2018 年,一个顶级 GPU 可以每秒强力检查约 15 亿个 SHA-512 哈希值。
Salting 是一种在密码中包含随机数据的方法;然而,即便这样也无助于 SHA-512 的情况。只有复杂的密码才能保证用户的账户免受黑客攻击。
Virgil 补充说,就业服务网站 LinkedIn 在 2012 年被黑客攻击,就因为它使用了 SHA-2 的前身 SHA-1。那次黑客攻击暴露了 800 万 LinkedIn 用户的密码。次年,同样使用 SHA-1 的在线市场 LivingSocial 在类似的攻击中暴露了 5000 万个用户密码。因此,Telegram 决定使用这种弱密码保护系统是令人惊讶的。
其次,Telegram 称会对用户数据进行加密,然后将其发送到云端。然后对数据进行解密和重新加密,以确认用户在第三方服务上的身份。获得的数据不是完全随机的,并再次使用 SHA-2。
Telegram 在其官方博客文章中写道,这项服务是端到端加密的,只使用了用户知道的密码。然而,代码中存在的漏洞使用户容易受到黑客的攻击。Virgil 公司提供了一些替代方案包括 SCrypt,BCrypt,Argon2,BrainKey 和 Pythia。
2016 年 8 月,黑客揭露了 1500 万伊朗 Telegram 用户的电话号码。当时,是因为客户使用了 SMS 完成用户认证过程的系统。由于 Telegram Passport 有敏感信息,因此这可能已成为黑客的目标。现在 Telegram 正处理这种情况并提高安全性。
链闻 ChainNews:提供每日不可或缺的区块链新闻。
原文作者:Habiba Tahir
文章来源:区块链铅笔
中文编译:Miranda
版权声明:文章为作者独立观点,不代表 链闻 ChainNews 立场。
来源链接:www.ccn.com