На прошлой неделе разработчики Telegram запустили систему авторизации Telegram Passport. За возможность мгновенной аутентификации на сайтах с пользователя один раз запросят скан паспорта.
Одному из пользователей Habr.com удалось выяснить, что на самом деле Telegram Passport не шифрует данные пользователей, и его можно легко взломать.
Дело в том, что на удаленные сервера сервиса отправляется целый список пользовательских данных:
- хэш
- случайный ключ, зашифрованный паролем
- дополнительная защита
- зашифрованные данные
Пользователь с ником Scratch уверяет, что этих данных достаточно для подбора пароля. В конце концов, на сервис отправляется готовый ключ шифрования, а значит, генерировать его самостоятельно методом подбора или слепого брутфорса не нужно.
Учитывая, что среднестатистический пользователь Telegram не использует пароли длиной более восьми символов, взломать их очень просто.
По примерным подсчетам, на это уйдет около пяти дней. Ровно через такой срок паспортные данные и конфиденциальные документы пользователей могут остаться в руках злоумышленников в случае взлома Telegram Passport. [Habr]
17 комментариев
Форум →Всё можно взломать разница только во времени.
Но я стараюсь не светить данные документов на право налево. Заблокировать кредитку ладно-быстро, но пасспорт )
@Karatel Karatel, если прочесть оригинал хабра, то там описано все по шагам и при наличии нескольких мощных gpu не так и долго(речь шла всего о 8ми)
Самим не противно от таких статей? :)
@Alexander Kharitonov, не поленился, зарегистрировался, чтобы оставить чертов коммент, так что внимайте, Александр. Риторический вопрос вам: а не противно было тратить время на свой пустословный комментарий? Для меня, например, статья/заметка была полезна (не так часто посещаю хабр и пр.), кроме того на днях задавался вопросом как скоро можно “подарить” свой паспорт, используя упомянутый сервис. Если вы ничего нового не узнали – пройдите мимо. И да, бомбануло.
@hginn, шапочку из фольги уже оденьте.
@red2121, правильно говорить — “наденьте”
@Igor Katkov, Вам рекомендации куда пойти еще не давали?
@hginn, а почему кулхакер не написал, что зашифрованные данные надо взламывать лет этак 100 используя мощность всех современных ПК вместе взятых? Вы почитайте про современное шифрование, а потом постарайтесь понять соотношение между полезностью этой статьи и её кликбэйтностью.
@Александр Лютый, речь о 5 днях на 8 мощных видеокартах. Или 1 дне на 40.
100 годами и не пахнет, как видите
@hginn, да ты походу с фабрики троллей пригоженской. Блокнуть телегу у РКН не вышло, так вы теперь “ссыте людям в уши” по этой теме. Сразу куча псевдоним статей повыходила.
Взломать не выйдет если пароль будет 20+ символов, если 8 то да на суперкомпьютере (который можно взять в аренду) сломать получится.
@PavelDemyanov, за какое время?))))
@Александр Лютый, на 10 картах 1080ti за месяц, на 100 картах 1080ti за 5 дней.
Ксерокопии и сканы наших паспортов где только не делают. И заморачиваться со взломами серверов смысла нет. Вон яндекс из гуглдиска все вытаскивает :)
Очередная заказушная статья с целью наговорить всяких гадостей о телеграмме. Какой-то там мутный пользователь, что-то там нашел.
Как оказалось, автор этого поста на хабре работает в конторе, которая тоже занимается крипто вопросами. И естественно, он будет ругать других, чтобы хвалить и рекламировать свое. Что он и делал в первой версии своей статьи, пока ему рекламу не отрубили.
А если посмотреть обсуждение того поста на хабре, то там видно, что у телеграмма как раз-таки нормальная система.
просто очередная реклама телеграмма
вангую появление статьи/новости что на самом деле всё не так просто и паша молодец.
Да Быть такого не может. Вы, только, Артёму Баусову не говорите, он до сих пор на баррикадах с бумажными самолетиками борется за гарантии конфиденциальности )))
Нашли орфографическую ошибку в новости?
Выделите ее мышью и нажмите Ctrl+Enter.Как откатиться с iOS 15 до iOS 14, чтобы не потерять данные
Можно ли настроить дополнительные кнопки мыши в iPadOS
Как восстановить удаленные контакты из iCloud
Почему новые приложения не отображаются на рабочем столе iPhone с iOS 14
Как пользоваться приложениями бесплатно, если требуется оформить подписку
Как найти iPhone дома, если включен беззвучный режим
Почему Safari на iPhone или iPad не определяет геопозицию
Где искать понравившиеся треки в Apple Music