密碼學專家揭示Telegram Passport中的安全問題
點選上方“藍色字”可關注我們!
作者:Habiba Tahir 翻譯:Miranda
加密服務提供商Virgil Security, Inc.釋出了一份報告,引起了人們對Telegram Passport安全性的擔憂。
Telegram Passport是Telegram上個月引入的最新功能,允許使用者上傳個人身份證件,如護照,身份證和駕駛執照,以儲存在Telegram雲中。這些檔案都是加密的,以便使用者可以在不洩露其個人資料的情況下,在第三方服務上驗證身份。
然而,Virgil公司認為這個功能根本不安全。
首先,Telegram使用安全雜湊演算法2(SHA-512),在加密方面很弱。Virgil公司解釋說,為了保護密碼,黑客應該花更多的時間來猜測每個密碼。
“現在是2018年,一個頂級GPU可以每秒強力檢查約15億個SHA-512雜湊值。”
Salting是一種在密碼中包含隨機資料的方法;然而,即便這樣也無助於SHA-512的情況。只有複雜的密碼才能保證使用者的賬戶免受黑客攻擊。
Virgil補充說,就業服務網站LinkedIn在2012年被黑客攻擊,就因為它使用了SHA-2的前身SHA-1。那次黑客攻擊暴露了800萬LinkedIn使用者的密碼。次年,同樣使用SHA-1的線上市場LivingSocial在類似的攻擊中暴露了5000萬個使用者密碼。因此,Telegram決定使用這種弱密碼保護系統是令人驚訝的。
其次,Telegram稱會對使用者資料進行加密,然後將其傳送到雲端。然後對資料進行解密和重新加密,以確認使用者在第三方服務上的身份。獲得的資料不是完全隨機的,並再次使用SHA-2。
Telegram在其官方部落格文章中寫道,這項服務是端到端加密的,只使用了使用者知道的密碼。然而,程式碼中存在的漏洞使使用者容易受到黑客的攻擊。Virgil公司提供了一些替代方案包括SCrypt,BCrypt,Argon2,BrainKey和Pythia。
2016年8月,黑客揭露了1500萬伊朗Telegram使用者的電話號碼。當時,是因為客戶使用了SMS完成使用者認證過程的系統。由於Telegram Passport有敏感資訊,因此這可能已成為黑客的目標。現在Telegram正處理這種情況並提高安全性。
本文僅代表作者個人觀點,不代表區塊鏈鉛筆的立場,不構成投資建議,內容僅供參考。
3分鐘瞭解什麼是區塊鏈?(中文動畫)|(英文動畫教程)
3分鐘瞭解比特幣挖礦和區塊鏈共識機制?(中文動畫)|(英文動畫教程)
關注本公眾號後,進入公眾號
回覆關鍵詞可以查閱資料,以下是部分關鍵詞
回覆 WEF ,檢視《WEF:世界經濟論壇認為區塊鏈是網際網路金融行業的未來報告》
回覆 智慧合約 ,檢視《巴克萊銀行報告》
回覆 moody ,檢視《穆迪120個區塊鏈專案報告》
回覆 SWIFT ,檢視SWIFT《區塊鏈對證券交易全流程產生的影響及潛力》報告
回覆 論文11 ,檢視論文《可擴充套件的去中心區塊鏈》
回覆 埃森哲2 ,檢視埃森哲《區塊鏈每年可以為投資銀行節省120億美元》報告
回覆 聯合國報告 ,檢視聯合國報告《數字貨幣和區塊鏈技術在構建社會和可信金融之間扮演的角色》
回覆 使用者特性 ,檢視普林斯頓大學首本比特幣教科書初稿《比特幣使用者的特性(Characteristics of Bitcoin Users)》
回覆 普林斯頓 ,檢視普林斯頓大學首本比特幣教科書初稿《比特幣和數字貨幣技術(Bitcoin and Cryptocurrency Technologies)》
回覆 IMF,檢視國際貨幣基金組織報告《Virtual Currencies and Beyond: Initial Considerations》
回覆 DTCC ,檢視美國存管信託清算公司報告《DTCC: 擁抱分散式》
回覆 廣發 ,檢視報告《科技前沿報告:區塊鏈:正快速走進公眾和政策視野》
回覆 川財1 ,檢視報告《川財證券:區塊鏈技術調研報告之一:具有顛覆所有行業的可能性》
回覆 川財2 ,檢視報告《川財證券:區塊鏈技術調研報告之二:區塊鏈技術進化論-區塊鏈技術的國內實踐和展望》
回覆 桑坦德 ,檢視桑坦德銀行報告《The Fintech 2.0 Paper: rebooting financial services》
回覆 拜占庭 ,檢視《拜占庭將軍問題詳解》
回覆 論文1 ,檢視論文《比特幣閃電網路:可擴充套件的離線即時支付》
回覆 論文2 ,檢視論文《比特幣骨幹協議》
回覆 論文3 ,檢視論文《數字貨幣是否應該進入Barbados央行國際儲備貨幣組合中》
回覆 幫助 ,檢視本公眾號全部關鍵詞列表
相關文章
- Lastline:45%的網路安全專家會重複使用相同密碼AST密碼
- 安全專家:當前網銀安全存在四大問題
- 有關Laravel Passport認證的問題LaravelPassport
- 《密碼學系列》|| 密碼學中的流密碼是怎麼回事?密碼學
- 警示!一幅漫畫揭示了專案研發過程中存在的問題
- 密碼學與密碼安全:理論與實踐密碼學
- 在Sail環境中使用passport密碼授權時CURL本地環境導致PHP程式卡死問題AIPassport密碼PHP
- 密碼找回功能可能存在的問題密碼
- 【SSM】WEB專案中的中文亂碼問題SSMWeb
- 揭示檢查點的祕密
- 密碼學之安全模型總結密碼學模型
- 比特幣中的密碼學原理比特幣密碼學
- 安全防護密碼學之網站安全公司密碼學網站
- 初步學習密碼系統的安全性密碼
- 密碼學之專業英語密碼學
- 密碼找回功能可能存在的問題(補充)密碼
- 密碼學之前後向安全性密碼學
- 密碼專家對Web3的第一印象 - moxie密碼Web
- 中國科學院物理學家利用機器學習揭示原子核殼演化機器學習
- NEJM:科學家揭示胸腺在成年人機體健康中的重要功能
- git push要輸入密碼問題Git密碼
- 企業原始碼管理的安全問題原始碼
- 密碼安全加固密碼
- PG密碼安全密碼
- MySQL密碼安全MySql密碼
- SpringBoot專案配置檔案中密碼的加密Spring Boot密碼加密
- Mysql修改密碼之後,Navicat依然使用舊密碼連線問題MySql密碼
- 關於原始碼防洩密的本質問題原始碼
- 哲學家就餐問題詳解
- 從密碼學到網路安全應用密碼學
- parallelStream中的執行緒安全問題Parallel執行緒
- 【專案中遇到的zookeeper的問題】
- 密碼學中的一些數學基礎密碼學
- 郵件安全問題有哪些?Coremail郵件安全閘道器——雙一流高校背後的郵件安全專家REMAI
- 阿里資深專家面試問題收集阿里面試
- 一些密碼學基礎題密碼學
- [提問交流]在Apache下重定向問題 /login 重定向到 /home/passport/login 有問題ApachePassport
- 密碼安全:密碼設定要求,密碼爆破辦法,密碼歸類使用,密碼處置方案密碼