Эксперты: пароль к Telegram Passport можно подобрать за пять дней
Logo
Cover

Создатели мессенджера называют Passport универсальным инструментом для быстрой и безопасной авторизации на сервисах, требующих документы для регистрации. Эксперты предупреждают, что Telegram неверно оценивает безопасность новой услуги.

102

Telegram называет Passport универсальным решением по идентификации, которое избавит пользователей от необходимости раз за разом фотографировать и посылать свои документы различным компаниям, требующим подтвердить личность по паспорту. А в перспективе Passport должен стать важной частью децентрализованной платформы TON и криптовалюты Gram.

Представители сервиса уверяют, что данные Passport в Telegram хранятся в зашифрованном виде в облаке. Сама компания к ним доступа не имеет — только пользователь и сайт, с которым он взаимодействует и которому прямо разрешил доступ к документам.

Но с этим не согласны эксперты по кибербезопасности из компании Virgil Security, пишет Next Web. Они заявляют, что сервис уязвим к атакам полного перебора (brute force). В частности они усомнились в надежности некоторых решений, которые программисты Telegram применили в Passport.

Больше всего их смутило применение стандарта шифрования SHA-512 для кодирования паролей пользователей. Они объясняют, что он не создавался для этих целей.

Для злоумышленников будет экономически весьма выгодно пытаться получить пароль, закодированный по SHA-512. Virgil Security подсчитала, что с американскими ценами на электричество стоимость получения одного пароля составит максимум $135. Массовым взломом заняться не получится, но воровать пароли — и документы — конкретного человека вполне возможно.

Топовый современный графический процессор способен проверить 1,5 млрд хешей SHA-512 в секунду. Если взять небольшую майнинговую ферму из десятка таких процессоров, то на взлом одного аккаунта с восьмизначным паролем уйдет максимум 4,7 дня, указывают эксперты Virgil Security.

При этом на практике люди пользуются более простыми паролями, поэтому стоимость электричества, потраченного на перебор, вряд ли будет превышать $5, полагают также они.

В отчете указано, что подобная небрежность в системе шифрования уже дорого обошлась крупным соцсетям: после утечки базы данных из LivingSocial и LinkedIn 90% паролей были восстановлены в течение недели.

Для сервиса, который планирует стать частью крупной децентрализованной системы, связанной с деньгами пользователей, это может стать большой проблемой. И даже не нужно ждать появления квантовых компьютеров.