காஸ்பர்ஸ்கி கடவுச்சொல் நிர்வாகி பாதுகாப்பாக இல்லை, உங்கள் கடவுச்சொற்களை சிதைக்கலாம்

சில நாட்களுக்கு முன்பு டான்ஜோன் வெளியிட்ட ஒரு பிரசுரத்தால் வலையில் ஒரு மிகப்பெரிய ஊழல் அமைக்கப்பட்டது (ஒரு பாதுகாப்பு ஆலோசனை) இதில் அடிப்படையில் "காஸ்பர்ஸ்கி கடவுச்சொல் மேலாளர்" இன் பல்வேறு பாதுகாப்பு சிக்கல்கள் குறித்து விவாதிக்கப்பட்டது குறிப்பாக அதன் கடவுச்சொல் ஜெனரேட்டரில், அது உருவாக்கிய ஒவ்வொரு கடவுச்சொல்லையும் ஒரு முரட்டுத்தனமான தாக்குதலால் சிதைக்க முடியும் என்பதை நிரூபித்தது.

அதுதான் பாதுகாப்பு ஆலோசகர் டான்ஜோன் அவர் அதை கண்டுபிடித்தார் மார்ச் 2019 மற்றும் அக்டோபர் 2020 க்கு இடையில், காஸ்பர்ஸ்கி கடவுச்சொல் மேலாளர் கடவுச்சொற்களை உருவாக்கியது, அவை நொடிகளில் சிதைக்கப்படலாம். கருவி ஒரு போலி-சீரற்ற எண் ஜெனரேட்டரைப் பயன்படுத்தியது, இது குறியாக்க நோக்கங்களுக்காக தனித்தனியாக பொருந்தாது.

கடவுச்சொல் ஜெனரேட்டர் என்பதை ஆராய்ச்சியாளர்கள் கண்டுபிடித்தனர் இது பல சிக்கல்களைக் கொண்டிருந்தது மற்றும் மிக முக்கியமான ஒன்று பிஆர்என்ஜி ஒரு என்ட்ரோபி மூலத்தை மட்டுமே பயன்படுத்தியது சுருக்கமாக, உருவாக்கப்பட்ட கடவுச்சொற்கள் பாதிக்கப்படக்கூடியவை மற்றும் பாதுகாப்பானவை அல்ல.

“இரண்டு ஆண்டுகளுக்கு முன்பு, காஸ்பர்ஸ்கி உருவாக்கிய கடவுச்சொல் நிர்வாகியான காஸ்பர்ஸ்கி கடவுச்சொல் மேலாளரை (கேபிஎம்) மதிப்பாய்வு செய்தோம். காஸ்பர்ஸ்கி கடவுச்சொல் மேலாளர் என்பது கடவுச்சொற்களையும் ஆவணங்களையும் ஒரு மறைகுறியாக்கப்பட்ட மற்றும் கடவுச்சொல் பாதுகாக்கப்பட்ட பாதுகாப்பாக பாதுகாப்பாக சேமிக்கும் ஒரு தயாரிப்பு ஆகும். இந்த பாதுகாப்பானது முதன்மை கடவுச்சொல்லால் பாதுகாக்கப்படுகிறது. எனவே மற்ற கடவுச்சொல் நிர்வாகிகளைப் போலவே, பயனர்களும் தங்கள் கடவுச்சொற்களைப் பயன்படுத்தவும் நிர்வகிக்கவும் ஒரு கடவுச்சொல்லை நினைவில் வைத்திருக்க வேண்டும். தயாரிப்பு வெவ்வேறு இயக்க முறைமைகளுக்கு கிடைக்கிறது (விண்டோஸ், மேகோஸ், ஆண்ட்ராய்டு, iOS, வலை…) மறைகுறியாக்கப்பட்ட தரவு உங்கள் எல்லா சாதனங்களுக்கிடையில் தானாக ஒத்திசைக்கப்படலாம், இது எப்போதும் உங்கள் முதன்மை கடவுச்சொல்லால் பாதுகாக்கப்படுகிறது.

கே.பி.எம்மின் முக்கிய அம்சம் கடவுச்சொல் மேலாண்மை. கடவுச்சொல் நிர்வாகிகளுடனான ஒரு முக்கிய அம்சம் என்னவென்றால், மனிதர்களைப் போலல்லாமல், இந்த கருவிகள் வலுவான மற்றும் சீரற்ற கடவுச்சொற்களை உருவாக்குவதில் சிறந்தவை. வலுவான கடவுச்சொற்களை உருவாக்க, காஸ்பர்ஸ்கி கடவுச்சொல் மேலாளர் வலுவான கடவுச்சொற்களை உருவாக்குவதற்கான ஒரு பொறிமுறையை நம்பியிருக்க வேண்டும் ”.

பிரச்சினைக்கு இது CVE-2020-27020 என்ற குறியீட்டை ஒதுக்கியது, "தாக்குபவர் கூடுதல் தகவல்களை அறிந்து கொள்ள வேண்டும் (எடுத்துக்காட்டாக, கடவுச்சொல் உருவாக்கப்பட்ட நேரம்)" என்பது செல்லுபடியாகும், உண்மை என்னவென்றால், காஸ்பர்ஸ்கி கடவுச்சொற்கள் மக்கள் நினைத்ததை விட குறைவாக பாதுகாப்பாக இருந்தன.

"காஸ்பர்ஸ்கி கடவுச்சொல் மேலாளரில் சேர்க்கப்பட்ட கடவுச்சொல் ஜெனரேட்டர் பல சிக்கல்களை எதிர்கொண்டது" என்று டன்ஜியன் ஆராய்ச்சி குழு செவ்வாயன்று ஒரு இடுகையில் விளக்கினார். “மிக முக்கியமான விஷயம் என்னவென்றால், அவர் கிரிப்டோகிராஃபிக் நோக்கங்களுக்காக பொருத்தமற்ற பிஆர்என்ஜியைப் பயன்படுத்துகிறார். அதன் ஒரே என்ட்ரோபியின் ஆதாரம் தற்போதைய பதற்றம். நீங்கள் உருவாக்கும் எந்த கடவுச்சொல்லும் நொடிகளில் கொடூரமாக உடைக்கப்படலாம். "

காஸ்பர்ஸ்கியின் பெரிய தவறு கணினி கடிகாரத்தைப் பயன்படுத்துவதாக டன்ஜியன் சுட்டிக்காட்டுகிறார் ஒரு போலி-சீரற்ற எண் ஜெனரேட்டரில் ஒரு விதை என நொடிகளில்.

"இதன் பொருள் உலகில் காஸ்பர்ஸ்கி கடவுச்சொல் நிர்வாகியின் ஒவ்வொரு நிகழ்வும் ஒரு குறிப்பிட்ட நொடியில் அதே கடவுச்சொல்லை உருவாக்கும்" என்று ஜீன்-பாப்டிஸ்ட் பெட்ரூன் கூறுகிறார். அவரைப் பொறுத்தவரை, ஒவ்வொரு கடவுச்சொல்லும் ஒரு முரட்டுத்தனமான தாக்குதலின் இலக்காக இருக்கலாம் ”. "எடுத்துக்காட்டாக, 315,619,200 மற்றும் 2010 க்கு இடையில் 2021 வினாடிகள் உள்ளன, எனவே கொடுக்கப்பட்ட எழுத்துக்குறி தொகுப்பிற்கு கேபிஎம் அதிகபட்சமாக 315,619,200 கடவுச்சொற்களை உருவாக்க முடியும். இந்த பட்டியலில் ஒரு மிருகத்தனமான தாக்குதல் சில நிமிடங்கள் மட்டுமே ஆகும். "

ஆராய்ச்சியாளர்கள் நிலவறை முடிந்தது:

“காஸ்பர்ஸ்கி கடவுச்சொல் நிர்வாகி அதன் கடவுச்சொற்களை உருவாக்க ஒரு சிக்கலான முறையைப் பயன்படுத்தினார். இந்த முறை நிலையான கடவுச்சொல் ஹேக்கர்களுக்கு கடினமான கடவுச்சொற்களை உருவாக்குவதை நோக்கமாகக் கொண்டது. இருப்பினும், அத்தகைய முறை அர்ப்பணிப்பு கருவிகளுடன் ஒப்பிடும்போது உருவாக்கப்பட்ட கடவுச்சொற்களின் வலிமையைக் குறைக்கிறது. கீபாஸைப் பயன்படுத்தி வலுவான கடவுச்சொற்களை எவ்வாறு உருவாக்குவது என்பதை நாங்கள் காண்பித்தோம்: ஸ்வீப்ஸ்டேக்குகள் போன்ற எளிய முறைகள் பாதுகாப்பானவை, கொடுக்கப்பட்ட எழுத்து வரம்பில் ஒரு கடிதத்தைப் பார்க்கும்போது "மாடுலஸ் சார்பு" யிலிருந்து விடுபட்டவுடன்.

"நாங்கள் காஸ்பர்ஸ்கியின் பிஆர்என்ஜியையும் பகுப்பாய்வு செய்தோம், அது மிகவும் பலவீனமாக இருப்பதைக் காட்டினோம். அதன் உள் அமைப்பு, பூஸ்ட் நூலகத்திலிருந்து ஒரு மெர்சென் சூறாவளி, கிரிப்டோகிராஃபிக் பொருளை உருவாக்க ஏற்றது அல்ல. ஆனால் மிகப் பெரிய குறைபாடு என்னவென்றால், இந்த பிஆர்என்ஜி தற்போதைய நேரத்துடன் விநாடிகளில் விதைக்கப்பட்டது. KPM இன் பாதிக்கப்படக்கூடிய பதிப்புகளால் உருவாக்கப்படும் ஒவ்வொரு கடவுச்சொல்லையும் சில நிமிடங்களில் கொடூரமாக சேதப்படுத்தலாம் (அல்லது தலைமுறை நேரம் உங்களுக்குத் தெரிந்தால் ஒரு நொடி).

காஸ்பர்ஸ்கிக்கு பாதிப்பு குறித்து ஜூன் 2019 இல் தெரிவிக்கப்பட்டது மற்றும் அதே ஆண்டு அக்டோபரில் பேட்ச் பதிப்பை வெளியிட்டது. அக்டோபர் 2020 இல், சில கடவுச்சொற்களை மீண்டும் உருவாக்க வேண்டும் என்று பயனர்களுக்கு அறிவிக்கப்பட்டது, மேலும் காஸ்பர்ஸ்கி தனது பாதுகாப்பு ஆலோசனையை ஏப்ரல் 27, 2021 அன்று வெளியிட்டார்:

“இந்த சிக்கலுக்கு பொறுப்பான காஸ்பர்ஸ்கி கடவுச்சொல் நிர்வாகியின் அனைத்து பொது பதிப்புகளும் இப்போது புதிய ஒன்றைக் கொண்டுள்ளன. உருவாக்கப்பட்ட கடவுச்சொல் போதுமானதாக இல்லாத சந்தர்ப்பங்களில் கடவுச்சொல் உருவாக்கும் தர்க்கம் மற்றும் கடவுச்சொல் புதுப்பிப்பு எச்சரிக்கை ”, என்று பாதுகாப்பு நிறுவனம் கூறுகிறது

மூல: https://donjon.ledger.com


2 கருத்துகள், உங்களுடையதை விடுங்கள்

உங்கள் கருத்தை தெரிவிக்கவும்

உங்கள் மின்னஞ்சல் முகவரி வெளியிடப்பட்ட முடியாது. தேவையான புலங்கள் குறிக்கப்பட்டிருக்கும் *

*

*

  1. தரவுக்கு பொறுப்பு: மிகுவல் ஏஞ்சல் கேடன்
  2. தரவின் நோக்கம்: கட்டுப்பாட்டு ஸ்பேம், கருத்து மேலாண்மை.
  3. சட்டபூர்வமாக்கல்: உங்கள் ஒப்புதல்
  4. தரவின் தொடர்பு: சட்டபூர்வமான கடமையால் தவிர மூன்றாம் தரப்பினருக்கு தரவு தெரிவிக்கப்படாது.
  5. தரவு சேமிப்பு: ஆக்சென்டஸ் நெட்வொர்க்குகள் (EU) வழங்கிய தரவுத்தளம்
  6. உரிமைகள்: எந்த நேரத்திலும் உங்கள் தகவல்களை நீங்கள் கட்டுப்படுத்தலாம், மீட்டெடுக்கலாம் மற்றும் நீக்கலாம்.

  1.   luix அவர் கூறினார்

    கடவுச்சொற்கள் பேட்லாக்ஸ் போன்றவை: 100% பாதுகாப்பானது இல்லை, ஆனால் அது மிகவும் சிக்கலானது, அதிக நேரமும் முயற்சியும் தேவை.

  2.   ஆர்ட்இஸ் அவர் கூறினார்

    மிகவும் நம்பமுடியாதது, ஆனால் அவளுடைய கணினியை அணுக முடியாதவர் ஆசிரியரிடம் கூட செல்ல முடியாது. தற்போது, ​​ஒவ்வொருவருக்கும் சொந்த கணினி உள்ளது, யாராவது ஒரு நண்பர் தங்கள் வீட்டிற்குச் சென்றால் தவிர, தற்செயலாக அவர்கள் அந்த புரோகிராம் நிறுவப்பட்டிருப்பதைக் கண்டால்.

    திட்டத்தின் மூலக் குறியீட்டைப் பெறுவதற்கு அவர்கள் அதிர்ஷ்டசாலிகள், அவை எவ்வாறு உருவாக்கப்பட்டது என்பதைப் புரிந்து கொள்ள முடியும், அது ஒரு பைனரியாக இருந்திருந்தால் முதலில் சிதைக்கப்பட வேண்டும், இது கடினம், பலருக்கு பிட் மொழி புரியவில்லை, அல்லது நேரடியாக முரட்டு சக்தியால் அது எப்படி வேலை செய்கிறது என்பதைப் புரிந்துகொள்வது.