Запущенная на прошлой неделе система идентификации пользователей Passport от популярного мессенджера Telegram не может похвастаться безупречной защитой. Во всяком случае, так считает один из ведущих экспертов по кибербезопасности Virgil Security Алексей Ермишкин.
Такие высказывания трудно назвать необоснованными, так как разработчики сервиса действительно совершили серьезную ошибку, выбрав в качестве алгоритма для хэширования паролей SHA-512, в результате чего Telegram Passport стал автоматически уязвимым для хакерских брутфорс-атак. Суть таких атак заключается в том, что злоумышленники могут без особого труда подобрать пароль к любой учетной записи, воспользовавшись предлагаемым перечнем кодировки. Фактически, всего лишь один топовый ускоритель таким образом сможет проверить до полутора миллиардов таких хэш-кодов и если умножить число оборудования в 10 раз, то появляется возможность взломки восьмизначного пароля за пять неполных суток.
Подведя итоги, можно сделать неутешительный вывод о том, что вычисление пароля средней сложности обойдется всего лишь в 5 американских долларов и это далеко не предел. Следует отметить, что халатное отношение к собственной безопасности, которое, прежде всего, выражается в выборе ненадежного пароля, уже привело к потере 58 000 000 паролей в таких сервисах для хранения пользовательских данных, как LinkedIn и LivingSocia, правда, этот печальный опыт учли далеко не многие активные сетевые пользователи. Остается только догадываться, какому риску подвергают свои данные клиенты Telegram Passport, искренне верящие в то, что все пароли и скан-копии их документов, загруженные на сервер приложения, будут надежно защищены сквозным шифрованием.
Что же касается самих разработчиков, то они пока не спешат комментировать ситуацию, обещая, что уже в ближайшем будущем новый формат подвергнется децентрализации, переквалифицировавшись в полноценное облачное хранилище, к данным которого не будет доступа даже у владельцев компании. По материалам https://serty.ru/info/news/industry/telegram-passport-nebezopasen/ Copyright © serty.ru
