Hitech logo

Криптобезопасность

Эксперты: пароль к Telegram Passport можно подобрать за пять дней

TODO:
Роман Окашин3 августа 2018 г., 11:35

Создатели мессенджера называют Passport универсальным инструментом для быстрой и безопасной авторизации на сервисах, требующих документы для регистрации. Эксперты предупреждают, что Telegram неверно оценивает безопасность новой услуги.

Самые интересные технологические и научные новости выходят в нашем телеграм-канале Хайтек+. Подпишитесь, чтобы быть в курсе.

Telegram называет Passport универсальным решением по идентификации, которое избавит пользователей от необходимости раз за разом фотографировать и посылать свои документы различным компаниям, требующим подтвердить личность по паспорту. А в перспективе Passport должен стать важной частью децентрализованной платформы TON и криптовалюты Gram.

Представители сервиса уверяют, что данные Passport в Telegram хранятся в зашифрованном виде в облаке. Сама компания к ним доступа не имеет — только пользователь и сайт, с которым он взаимодействует и которому прямо разрешил доступ к документам.

Но с этим не согласны эксперты по кибербезопасности из компании Virgil Security, пишет Next Web. Они заявляют, что сервис уязвим к атакам полного перебора (brute force). В частности они усомнились в надежности некоторых решений, которые программисты Telegram применили в Passport.

Больше всего их смутило применение стандарта шифрования SHA-512 для кодирования паролей пользователей. Они объясняют, что он не создавался для этих целей.

Для злоумышленников будет экономически весьма выгодно пытаться получить пароль, закодированный по SHA-512. Virgil Security подсчитала, что с американскими ценами на электричество стоимость получения одного пароля составит максимум $135. Массовым взломом заняться не получится, но воровать пароли — и документы — конкретного человека вполне возможно.

Топовый современный графический процессор способен проверить 1,5 млрд хешей SHA-512 в секунду. Если взять небольшую майнинговую ферму из десятка таких процессоров, то на взлом одного аккаунта с восьмизначным паролем уйдет максимум 4,7 дня, указывают эксперты Virgil Security.

При этом на практике люди пользуются более простыми паролями, поэтому стоимость электричества, потраченного на перебор, вряд ли будет превышать $5, полагают также они.

В отчете указано, что подобная небрежность в системе шифрования уже дорого обошлась крупным соцсетям: после утечки базы данных из LivingSocial и LinkedIn 90% паролей были восстановлены в течение недели.

Для сервиса, который планирует стать частью крупной децентрализованной системы, связанной с деньгами пользователей, это может стать большой проблемой. И даже не нужно ждать появления квантовых компьютеров.