密碼學專家揭示Telegram Passport中的安全問題
作者:Habiba Tahir 翻譯:Miranda
加密服務提供商Virgil Security, Inc.釋出了一份報告,引起了人們對Telegram Passport安全性的擔憂。
Telegram Passport是Telegram上個月引入的最新功能,允許使用者上傳個人身份證件,如護照,身份證和駕駛執照,以儲存在Telegram雲中。這些檔案都是加密的,以便使用者可以在不洩露其個人資料的情況下,在第三方服務上驗證身份。
然而,Virgil公司認為這個功能根本不安全。
首先,Telegram使用安全雜湊演算法2(SHA-512),在加密方面很弱。Virgil公司解釋說,為了保護密碼,黑客應該花更多的時間來猜測每個密碼。
“現在是2018年,一個頂級GPU可以每秒強力檢查約15億個SHA-512雜湊值。”
Salting是一種在密碼中包含隨機資料的方法;然而,即便這樣也無助於SHA-512的情況。只有複雜的密碼才能保證使用者的賬戶免受黑客攻擊。
Virgil補充說,就業服務網站LinkedIn在2012年被黑客攻擊,就因為它使用了SHA-2的前身SHA-1。那次黑客攻擊暴露了800萬LinkedIn使用者的密碼。次年,同樣使用SHA-1的線上市場LivingSocial在類似的攻擊中暴露了5000萬個使用者密碼。因此,Telegram決定使用這種弱密碼保護系統是令人驚訝的。
其次,Telegram稱會對使用者資料進行加密,然後將其傳送到雲端。然後對資料進行解密和重新加密,以確認使用者在第三方服務上的身份。獲得的資料不是完全隨機的,並再次使用SHA-2。
Telegram在其官方部落格文章中寫道,這項服務是端到端加密的,只使用了使用者知道的密碼。然而,程式碼中存在的漏洞使使用者容易受到黑客的攻擊。Virgil公司提供了一些替代方案包括SCrypt,BCrypt,Argon2,BrainKey和Pythia。
2016年8月,黑客揭露了1500萬伊朗Telegram使用者的電話號碼。當時,是因為客戶使用了SMS完成使用者認證過程的系統。由於Telegram Passport有敏感資訊,因此這可能已成為黑客的目標。現在Telegram正處理這種情況並提高安全性。
本文僅代表作者個人觀點,不代表區塊鏈鉛筆的立場,不構成投資建議,內容僅供參考。
3分鐘瞭解什麼是區塊鏈?(中文動畫)|(英文動畫教程)
3分鐘瞭解比特幣挖礦和區塊鏈共識機制?(中文動畫)|(英文動畫教程)
關注本公眾號後,進入公眾號
回覆關鍵詞可以查閱資料,以下是部分關鍵詞
回覆 WEF ,檢視《WEF:世界經濟論壇認為區塊鏈是網際網路金融行業的未來報告》
回覆 智慧合約 ,檢視《巴克萊銀行報告》
回覆 moody ,檢視《穆迪120個區塊鏈專案報告》
回覆 SWIFT ,檢視SWIFT《區塊鏈對證券交易全流程產生的影響及潛力》報告
回覆 論文11 ,檢視論文《可擴充套件的去中心區塊鏈》
回覆 埃森哲2 ,檢視埃森哲《區塊鏈每年可以為投資銀行節省120億美元》報告
回覆 聯合國報告 ,檢視聯合國報告《數字貨幣和區塊鏈技術在構建社會和可信金融之間扮演的角色》
回覆 使用者特性 ,檢視普林斯頓大學首本比特幣教科書初稿《比特幣使用者的特性(Characteristics of Bitcoin Users)》
回覆 普林斯頓 ,檢視普林斯頓大學首本比特幣教科書初稿《比特幣和數字貨幣技術(Bitcoin and Cryptocurrency Technologies)》
回覆 IMF,檢視國際貨幣基金組織報告《Virtual Currencies and Beyond: Initial Considerations》
回覆 DTCC ,檢視美國存管信託清算公司報告《DTCC: 擁抱分散式》
回覆 廣發 ,檢視報告《科技前沿報告:區塊鏈:正快速走進公眾和政策視野》
回覆 川財1 ,檢視報告《川財證券:區塊鏈技術調研報告之一:具有顛覆所有行業的可能性》
回覆 川財2 ,檢視報告《川財證券:區塊鏈技術調研報告之二:區塊鏈技術進化論-區塊鏈技術的國內實踐和展望》
回覆 桑坦德 ,檢視桑坦德銀行報告《The Fintech 2.0 Paper: rebooting financial services》
回覆 拜占庭 ,檢視《拜占庭將軍問題詳解》
回覆 論文1 ,檢視論文《比特幣閃電網路:可擴充套件的離線即時支付》
回覆 論文2 ,檢視論文《比特幣骨幹協議》
回覆 論文3 ,檢視論文《數字貨幣是否應該進入Barbados央行國際儲備貨幣組合中》
回覆 幫助 ,檢視本公眾號全部關鍵詞列表
相關文章
- 聊聊密碼儲存中的安全問題密碼
- 《密碼學系列》|| 密碼學中的流密碼是怎麼回事?密碼學
- Lastline:45%的網路安全專家會重複使用相同密碼AST密碼
- 先知創新大會:16位華人安全科學家分享前沿研究_中國密碼專家王小云獲先知獎密碼
- 有關Laravel Passport認證的問題LaravelPassport
- 警示!一幅漫畫揭示了專案研發過程中存在的問題
- 專案中靜態頁面的安全問題
- 密碼學與密碼安全:理論與實踐密碼學
- Laravel5.3 Passport API 認證 密碼模式使用LaravelPassportAPI密碼模式
- 避免微博賬號被盜 安全專家提醒一碼通行網友儘快修改密碼密碼
- 【DATAGUARD 學習】同一臺主機的dataguard 密碼問題!密碼
- 【SSM】WEB專案中的中文亂碼問題SSMWeb
- 在Sail環境中使用passport密碼授權時CURL本地環境導致PHP程式卡死問題AIPassport密碼PHP
- sql中的安全問題nullSQLNull
- 密碼學之安全模型總結密碼學模型
- 密碼學中的愛麗絲與鮑勃密碼學
- 密碼找回功能可能存在的問題密碼
- 關於jive的password密碼問題!密碼
- redis叢集密碼問題Redis密碼
- CISCO設定密碼的命令的問題密碼
- 安全防護密碼學之網站安全公司密碼學網站
- 初步學習密碼系統的安全性密碼
- MySQL 5.7 初始密碼和密碼複雜度問題MySql密碼複雜度
- PHP中“==”運算子的安全問題PHP
- 密碼專家對Web3的第一印象 - moxie密碼Web
- 使用總結:Laravel 的 passport 密碼授權模式完成 API 認證LaravelPassport密碼模式API
- 哲學家就餐問題詳解
- 密碼學之前後向安全性密碼學
- 阿里資深專家面試問題收集阿里面試
- 比特幣中的密碼學原理比特幣密碼學
- .NET中的密碼學--對稱加密密碼學加密
- 密碼學之專業英語密碼學
- CTF---密碼學入門第六題 古典密碼密碼學
- mysql密碼和登入問題MySql密碼
- 中國科學院物理學家利用機器學習揭示原子核殼演化機器學習
- PG密碼安全密碼
- 密碼安全加固密碼
- MySQL密碼安全MySql密碼