Telegram вводит «паспорта» для идентификации пользователей

[Miss Content]

Мессенджер Telegram объявил о запуске новой системы авторизации пользователей — Telegram Passport.

Паспорт Telegram станет единым методом авторизации пользователей в сервисах, требующих верификации личности. Он позволяет единожды загрузить документы при помощи мессенджера, а затем делиться своими персональными данными с запрашивающими их сервисами — например, финансовыми, ICO и другими.

Все документы, удостоверяющие личность, будут храниться в облаке Telegram и будут защищены при помощи сквозного шифрования. Сам мессенджер не имеет доступа к информации, хранящейся в Telegram Passport, когда пользователь где-нибудь авторизуется, они попадают напрямую к получателю.



Протестировать работу новой системы авторизации можно уже сейчас, авторизовавшись на ePayments.com — в первой системе электронных платежей, реализовавшей интеграцию с системой Telegram Passport.

В ближайшем будущем Telegram планирует организовать стороннюю проверку для всех «паспортов» Telegram. Таким образом, в дальнейшем службам достаточно будет знать, что учетная запись Telegram была проверена, и все данные пользователя действительно реальны.

[Badboys Network]

Вот лишь бы эти данные действительно были в безопасности

А то кто этого пашку знает...

[1stuaalex]

Лебедев был прав. А этот агент КГБ совсем не палится

[inferno[DGT]]

Цитата:

Сообщение от 1stuaalex

Лебедев был прав. А этот агент КГБ совсем не палится

Понятно, что всякие киберкриминалити и те, кому важна анонимность эту фишку использовать не будут. Но таких пользователей по сравнению с обычными хомяками и домохозяйками - единицы. И такой сервис действительно многократно облегчает процесс верификации.

[den2099]

ФСБ теперь перевозбудится - это ж скока инфы, а ключей так и нет

[веломан]

да есть там всё

[spomoni]

Цитата:

Сообщение от inferno[DGT]

Цитата:

Понятно, что всякие киберкриминалити и те, кому важна анонимность эту фишку использовать не будут. Но таких пользователей по сравнению с обычными хомяками и домохозяйками - единицы. И такой сервис действительно многократно облегчает процесс верификации.

Ну это что то типа как не вводить свои данные на смартфоне, а отпечатками пальцев их аппрувить. Ну нафиг.

[ogfox]

Цитата:

Сообщение от 1stuaalex

Лебедев был прав. А этот агент КГБ совсем не палится

Да это же просто фича, а не обязаловка. Если будет обязаловка нахуй их, конечно.

[веломан]

Почему Telegram Passport — никакой не End to End

Цитата:

Судя по аналогичной ситуации с «секретными» чатами, наплевательский подход к безопасности на фоне усиленного пиара — это фича Дурова, а не баг.

[seostock]

Найден способ похитить данные пользователей из сервиса Telegram Passport

В недавно запущенном сервисе для хранения документов обнаружена уязвимость.

Пользователь портала Habr под псевдонимом Scratch обнаружил способ похитить данные пользователей из недавно запущенного сервиса для хранения документов и мгновенной аутентификации Telegram Passport.

Как выяснил Scratch, сервис отправляет в облако зашифрованные пользовательские данные, криптографические ключи, а также хэш от персональных данных, смешанных со случайными байтами. По его словам, этой информации достаточно, чтобы взломать сервис и похитить данные пользователей с помощью брутфорс-атаки.

«Это далеко не «случайный шум», тут есть все необходимое, включая ключ шифрования, защищенный паролем. И это позволяет добраться до данных пользователей гораздо, гораздо быстрее чем перебирать все возможные комбинации ключей AES (2^256). Также большому сомнению подвергаются такие изобретенные авторами Telegram механизмы, как проверка ключа на валидность с помощью суммы байт, участие самих данных в формировании ключа их же шифрования и хэш от данных вместо HMAС», - отметил эксперт.

Одним из возможных способов защиты от злоумышленников Scratch назвал использование сложных паролей длиннее 8 символов, однако число пользователей, использующих подобную защиту, сравнительно невелико.

https://www.securitylab.ru/news/494702.php