テクノロジー ニュース 非公開: Telegramパスポートにブルートフォース脆弱性があることを示唆するレポート

Telegramパスポートにブルートフォース脆弱性があることを示唆するレポート

Telegram Passport
Telegram Passport

Telegram は最近、Telegram Passport を開始しました。これにより、現実世界の ID (またはドキュメント) をオンラインに保存し、実際の身元を証明する必要があるサービスと簡単に共有できるようになります。

しかし、 最近の報告では、個人識別認証ツールは実際にはブルート フォース攻撃に対して非常に脆弱であることが示唆されています。

暗号化ソフトウェアおよびサービスの開発者である Virgil Security, Inc. のレポートによると、ユーザーのデータはエンドツーエンドの暗号化を使用して Telegram クラウドに保存され、その後分散型クラウドに移動されますが、個人データは暗号化されていないと見なされているため、復号化できません。 「ランダムノイズ」

Reports Suggest Telegram Passport Has Brute-Force Vulnerabilities
Reports Suggest Telegram Passport Has Brute-Force Vulnerabilities

ただし、Telegram は、パスワードをハッシュすることを目的としていないハッシュ アルゴリズムである SHA-512 を使用します。このアルゴリズム により、パスワードがソルト化されている場合でも、ブルート フォース攻撃に対して脆弱になると報告されています。

ご存じない方のために説明すると、ソルトは追加のシークレット値として追加されるランダム データであり、元のパスワードの長さを延長して、追加の保護を提供します。

2018 年現在、1 つのトップレベル GPU は 1 秒あたり約 15 億の SHA-512 ハッシュを総当たり検査できます。つまり、10 個の GPU (小規模な暗号通貨マイニング ファーム) で、94 文字のアルファベットから 8 文字のパスワードをすべて 4.7 日でチェックできることになります。米国の平均電気代を計算に使用すると、最悪のシナリオではパスワードあたり 135 ドルになります。ただし実際には、人々がパスワードの複雑さを選択することを考慮すると、この数字はパスワードあたり 5 ドル、あるいはそれ以下になる可能性があります。

要約すると、Telegram Passport は優れたツールですが、セキュリティ上の欠陥により失望させられました。レポート 自体が結論付けているように、「選択されたハッシュ アルゴリズムではブルート フォース攻撃が簡単であるため、Telegram のクラウドにアップロードするデータのセキュリティはパスワードの強度に圧倒的に依存します。」

Telegramパスポートにブルートフォース脆弱性があることを示唆するレポート
Telegramパスポートにブルートフォース脆弱性があることを示唆するレポート

「 Telegramパスポートにブルートフォース脆弱性があることを示唆するレポート」についてわかりやすく解説!絶対に観るべきベスト2動画

BlueBorne/Bluetooth脆弱性【情報処理安全確保支援士】情報セキュリティマネジメント試験/応用情報技術者試験/基本情報技術者試験/ITパスポート
https://www.youtube-nocookie.com/watch?v=PuPdQqPtbBA&pp=ygVsIFRlbGVncmFt44OR44K544Od44O844OI44Gr44OW44Or44O844OI44OV44Kp44O844K56ISG5byx5oCn44GM44GC44KL44GT44Go44KS56S65ZSG44GZ44KL44Os44Od44O844OIJmhsPUpB
誰でも出来る自分の会社の脆弱性チェック【アタリマエ対策初級編】
https://www.youtube-nocookie.com/watch?v=vkCFZyVAA5c&pp=ygVsIFRlbGVncmFt44OR44K544Od44O844OI44Gr44OW44Or44O844OI44OV44Kp44O844K56ISG5byx5oCn44GM44GC44KL44GT44Go44KS56S65ZSG44GZ44KL44Os44Od44O844OIJmhsPUpB
Telegram Passport
Telegram Passport

Telegram は最近、Telegram Passport を開始しました。これにより、現実世界の ID (またはドキュメント) をオンラインに保存し、実際の身元を証明する必要があるサービスと簡単に共有できるようになります。

しかし、 最近の報告では、個人識別認証ツールは実際にはブルート フォース攻撃に対して非常に脆弱であることが示唆されています。

暗号化ソフトウェアおよびサービスの開発者である Virgil Security, Inc. のレポートによると、ユーザーのデータはエンドツーエンドの暗号化を使用して Telegram クラウドに保存され、その後分散型クラウドに移動されますが、個人データは暗号化されていないと見なされているため、復号化できません。 「ランダムノイズ」

Reports Suggest Telegram Passport Has Brute-Force Vulnerabilities
Reports Suggest Telegram Passport Has Brute-Force Vulnerabilities

ただし、Telegram は、パスワードをハッシュすることを目的としていないハッシュ アルゴリズムである SHA-512 を使用します。このアルゴリズム により、パスワードがソルト化されている場合でも、ブルート フォース攻撃に対して脆弱になると報告されています。

ご存じない方のために説明すると、ソルトは追加のシークレット値として追加されるランダム データであり、元のパスワードの長さを延長して、追加の保護を提供します。

2018 年現在、1 つのトップレベル GPU は 1 秒あたり約 15 億の SHA-512 ハッシュを総当たり検査できます。つまり、10 個の GPU (小規模な暗号通貨マイニング ファーム) で、94 文字のアルファベットから 8 文字のパスワードをすべて 4.7 日でチェックできることになります。米国の平均電気代を計算に使用すると、最悪のシナリオではパスワードあたり 135 ドルになります。ただし実際には、人々がパスワードの複雑さを選択することを考慮すると、この数字はパスワードあたり 5 ドル、あるいはそれ以下になる可能性があります。

要約すると、Telegram Passport は優れたツールですが、セキュリティ上の欠陥により失望させられました。レポート 自体が結論付けているように、「選択されたハッシュ アルゴリズムではブルート フォース攻撃が簡単であるため、Telegram のクラウドにアップロードするデータのセキュリティはパスワードの強度に圧倒的に依存します。」

Telegramパスポートにブルートフォース脆弱性があることを示唆するレポート
Telegramパスポートにブルートフォース脆弱性があることを示唆するレポート

「 Telegramパスポートにブルートフォース脆弱性があることを示唆するレポート」についてわかりやすく解説!絶対に観るべきベスト2動画

BlueBorne/Bluetooth脆弱性【情報処理安全確保支援士】情報セキュリティマネジメント試験/応用情報技術者試験/基本情報技術者試験/ITパスポート
https://www.youtube-nocookie.com/watch?v=PuPdQqPtbBA&pp=ygVsIFRlbGVncmFt44OR44K544Od44O844OI44Gr44OW44Or44O844OI44OV44Kp44O844K56ISG5byx5oCn44GM44GC44KL44GT44Go44KS56S65ZSG44GZ44KL44Os44Od44O844OIJmhsPUpB
誰でも出来る自分の会社の脆弱性チェック【アタリマエ対策初級編】
https://www.youtube-nocookie.com/watch?v=vkCFZyVAA5c&pp=ygVsIFRlbGVncmFt44OR44K544Od44O844OI44Gr44OW44Or44O844OI44OV44Kp44O844K56ISG5byx5oCn44GM44GC44KL44GT44Go44KS56S65ZSG44GZ44KL44Os44Od44O844OIJmhsPUpB

最新記事一覧

関連記事一覧