加密服務提供商 Virgil Security, Inc. 發佈了一份報告,引起了人們對 Telegram Passport 安全性的擔憂。

Telegram Passport 是 Telegram 上個月引入的最新功能,允許用戶上傳個人身份證件,如護照,身份證和駕駛執照,以存儲在 Telegram 雲中。這些文件都是加密的,以便用戶可以在不泄露其個人數據的情況下,在第三方服務上驗證身份。

然而,Virgil 公司認爲這個功能根本不安全。

首先,Telegram 使用安全散列算法 2 (SHA-512),在加密方面很弱。Virgil 公司解釋說,爲了保護密碼,黑客應該花更多的時間來猜測每個密碼。

現在是 2018 年,一個頂級 GPU 可以每秒強力檢查約 15 億個 SHA-512 哈希值。

Salting 是一種在密碼中包含隨機數據的方法;然而,即便這樣也無助於 SHA-512 的情況。只有複雜的密碼才能保證用戶的賬戶免受黑客攻擊。

Virgil 補充說,就業服務網站 LinkedIn 在 2012 年被黑客攻擊,就因爲它使用了 SHA-2 的前身 SHA-1。那次黑客攻擊暴露了 800 萬 LinkedIn 用戶的密碼。次年,同樣使用 SHA-1 的在線市場 LivingSocial 在類似的攻擊中暴露了 5000 萬個用戶密碼。因此,Telegram 決定使用這種弱密碼保護系統是令人驚訝的。

其次,Telegram 稱會對用戶數據進行加密,然後將其發送到雲端。然後對數據進行解密和重新加密,以確認用戶在第三方服務上的身份。獲得的數據不是完全隨機的,並再次使用 SHA-2。

Telegram 在其官方博客文章中寫道,這項服務是端到端加密的,只使用了用戶知道的密碼。然而,代碼中存在的漏洞使用戶容易受到黑客的攻擊。Virgil 公司提供了一些替代方案包括 SCrypt,BCrypt,Argon2,BrainKey 和 Pythia。

2016 年 8 月,黑客揭露了 1500 萬伊朗 Telegram 用戶的電話號碼。當時,是因爲客戶使用了 SMS 完成用戶認證過程的系統。由於 Telegram Passport 有敏感信息,因此這可能已成爲黑客的目標。現在 Telegram 正處理這種情況並提高安全性。

鏈聞 ChainNews:提供每日不可或缺的區塊鏈新聞。

原文作者:Habiba Tahir
文章來源:區塊鏈鉛筆
中文編譯:Miranda
版權聲明:文章爲作者獨立觀點,不代表 鏈聞 ChainNews 立場。

來源鏈接:www.ccn.com