Telegram Passport — новый сервис для безопасной верификации и авторизации пользователей в различных интернет-сервисах.
Telegram Passport — унифицированный метод авторизации для сервисов, требующих персональную идентификацию пользователей. Загружайте ваши документы только один раз для того чтобы иметь постоянную возможность пользоваться сервисами, требующими реальные идентификационные данные (финансовые инструменты, ICO, и прочие).
Блог Telegram
Одним из первых примеров реализации авторизации с помощью Telegram является сервис электронных платежей ePayments.com. Если пользователь загрузил свои данные в Telegram Passport, то он сможет авторизоваться быстро в сервисе, не заполняя их повторно.
В Telegram Passport можно будет загрузить данные в виде ФИО, сканы паспорта, СНИЛС, водительских прав и других документов.
Telegram заявляет, что все документы, удостоверяющие личность, и личные данные будут храниться в облаке Telegram с использованием сквозного шифрования End-to-End.
Протестировать новый функционал можно на специальной странице. Демо-бот хранит пользовательские данные только в течение 1 часа, а затем сбрасывает их.
В сервисе будет свой пароль, отличающийся от пароля в мессенджере. Однако разработчики уже раскритиковали сервис из-за уязвимости, которая может позволить осуществить кражу личных данных пользователей. Сообщается, что Telegram Passport уязвим перед методами "грубой силы" (брутфорсом). По мнению разработчиков, шифрование данных в новом сервисе зависит от сложности пароля. Учитывая, что пользователи редко используют пароли длиной более восьми символов, взломать их будет очень просто.
Сейчас 2018 год, и один графический процессор топового уровня может проверять примерно 1,5 миллиарда SHA-512 хэшей в секунду Это означает, что десять таких графических процессоров (небольшая ферма для майнинга криптовалюты) могут проверить каждый 8-символьный пароль из 94-символьного алфавита за 4,7 дня! Это $ 135 за пароль в худшем случае, используя средние затраты на электроэнергию США для расчета. На практике, однако, это число может спуститься до $5 за пароль или даже меньше.
Дэвид Канелис
Несколько лет назад из-за подобного пренебрежения безопасностью в сервисах LivingSocial и LinkedIn были украдены 58 миллионов паролей.
