密码专家揭示Telegram Passport中的安全问题

    2018.8.3 10:48 lv Created with Sketch.

密码服务提供商Virgil Security,Inc。发布了一份报告,引起了人们对Telegram Passport 安全性的担忧。

Telegram Passport是上个月消息应用程序引入的最新功能。它允许用户上传个人身份证件,如护照,身份证和驾驶执照,以存储在Telegram云中。这些文档已加密,以便用户可以在不泄露其个人数据的情况下验证其在第三方服务上的身份。

然而,维吉尔认为这个功能根本不安全。

首先,Telegram使用安全散列算法2(SHA-512),它在加密方面很弱。Virgil解释说,为了保护密码,黑客应该花更多的时间来猜测每个密码。

“它是2018年,一个顶级GPU可以强力检查每秒约15亿个SHA-512哈希值。”

Salting是一种在密码中包含随机数据的方法; 然而,即便这样也无助于SHA-512的情况。只有强大的密码才能保证用户的帐户免受暴力攻击。

Virgil补充说,就业服务网站LinkedIn在2012年被黑客攻击,因为它使用了SHA-2的前身SHA-1。该攻击暴露了800万LinkedIn用户的密码。明年,同样使用SHA-1的在线市场LivingSocial在类似的攻击中损失了5000万个密码。因此,Telegram决定使用这种弱密码保护系统是令人惊讶的。

其次,Telegram声称它会加密用户数据,然后将其发送到云端。然后对数据进行解密和重新加密,以确认用户在第三方服务上的身份。获得的数据不是完全随机的,并再次使用SHA-2。除此之外,该应用程序不包括数字签名选项,并且“没有数字签名允许您的数据被修改,而无需您或收件人能够分辨。”

在其官方博客文章中,Telegram写道,该服务是端到端加密的,只使用了用户知道的密码。然而,这项研究表明,代码中存在的漏洞使用户容易受到黑客的攻击。Virgil提供的一些替代方案包括SCrypt,BCrypt,Argon2,BrainKey和Pythia。

2016年8月,黑客暴露了1500万伊朗电报用户的电话号码。当时,使用SMS完成该过程的用户认证系统导致了攻击。由于Passport拥有敏感信息,因此它可能已成为黑客的目标。现在由Telegram负责处理这种情况并提高这种“高调产品”的安全性。

声明:本网站登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。文章内容仅供参考,不构成投资建议。投资者据此操作,风险自担。
新闻排行