ميجا تستجيب للشواغل الأمنية، وتنفذ تغييرات كلمة المرور

منذ إطلاق ميجا، كانت هناك العديد من المخاوف بشأن كيفية التعامل مع الأمن، من التشفير المستخدمة، إلى عدم وجود خيارات استرداد الحساب. ولكن الآن بعد أن بحث الباحثون ووسائل الإعلام القضايا، وقد ردت ميجا. كانت ميجا “غير مؤثرة جدا”، ولكنها أخذت الوقت للاعتراف الحجج التي كانت صحيحة وتكشف ما تخطط للقيام به.

الابتكار؛ و M2M السوق ترتد مرة أخرى في البرازيل؛ الأمن؛ مكتب التحقيقات الفدرالي يعتقل أعضاء مزعومين من كراكاس مع موقف لاختراق المسؤولين الحكوميين في الولايات المتحدة؛ الأمن؛ وورد يحث المستخدمين على تحديث الآن لإصلاح الثقوب الأمنية الحرجة؛ الأمن؛ البيت الأبيض يعين أول رئيس الاتحادية مسؤول أمن المعلومات

وأكد ميجا أن المستخدمين لديهم حاليا، لا توجد وسيلة لتغيير كلمة المرور الخاصة بهم، نقلا عن آرس تكنيكا، الذي قال سابقا أن “فقدان [كلمة المرور الخاصة بك يعني يعني أنك لا تفقد فقط القدرة على تسجيل الدخول إلى الخدمة – تفقد القدرة على فك تشفير ملفاتك، الفترة.

لمعالجة هذا، ذكرت ميجا أنه سيتم تنفيذ ميزة تغيير كلمة المرور التي “إعادة تشفير المفتاح الرئيسي مع كلمة المرور الجديدة”، فضلا عن تنفيذ آلية إعادة تعيين كلمة المرور.

آلية إعادة الضبط هي فقط للسماح للمستخدم بتسجيل الدخول مرة أخرى إلى حسابهم، لكنه لن يسمح للمستخدمين بقراءة ملفاتهم الموجودة، لأن تلك كانت قد تم تشفيرها باستخدام مفتاحها السابق. هذه ليست مشكلة إذا تم تشفير الملفات باستخدام مفاتيح مسبقة التصدير، أو إذا تمت مشاركة الملفات مع الآخرين مع مفتاح مشترك محدد، ولكن بخلاف ذلك، لن يكون الوصول إلى الملفات دون المفتاح الأصلي.

ومن التحسينات الإضافية التي سيتم طرحها في وقت لاحق القدرة على إضافة المزيد من العشوائية، أو الإنتروبيا، إلى كيفية إنشاء مفاتيح رسا عند الاشتراك. في هذه اللحظة، يتم إنشاء مفاتيح باستخدام وظيفة Math.random ()، وفي حين وحدها، هذه الوظيفة تنتج فقط الأرقام شبه عشوائي التي يمكن تخمينها، يتم توفير الإنتروبيا إضافية من خلال طرح باستخدام مدخلات حركة الماوس المستخدم ولوحة المفاتيح السكتات الدماغية. وسيسمح التحسين في المستقبل للمستخدم بإضافة إنتروبيا إضافية يدويا، إذا رغبوا في ذلك، وليس خلال الفترة القصيرة نسبيا المتاحة حاليا.

وكان السؤال الآخر الذي طرحه الباحثون عدة مرات هو كيف تدير ميجا عملية إزالة الازدواجية. تنص شروط الخدمة أساسا على أنه إذا قام أكثر من مستخدم بتحميل بيانات مكررة، فإنه يحق له ببساطة الربط بالبيانات نفسها، بدلا من كتابته مرتين أو أكثر للتخزين. وتتمثل إحدى الفوائد الرئيسية لذلك في ضمان عدم ضياع حيز التخزين.

منذ تشفير البيانات، تساءل المستخدمون كيف ميجا سوف نعرف أن يتم تكرار البيانات، مما يؤدي إلى اتهامات أن ميجا إما لا تشفير البيانات، أو أنه يحمل مفاتيح فك التشفير نفسها لغرض مقارنة البيانات.

ما هي ميجا، ومع ذلك، مقارنة البيانات المشفرة، بغض النظر عن ما هو شكلها غير مشفرة. القصد الحقيقي من الشرط هو في الواقع الحالات التي يقوم فيها مستخدم واحد بتخزين نسخ متعددة من نفس الملف، أو عند نسخ ملف مشفر باستخدام مفتاح مشترك عبر حسابات متعددة.

في حين أن ميجا اعترفت على هاتين النقطتين ولديها خطط لمعالجتها، كان هناك أيضا عدد من الاتهامات غير الصحيحة التي واجهها الموقع، بما في ذلك التحقق من رمز جافا سكريبت الخاص به – توليد الثقة من مصدر غير موثوق به – وأن خادم سل المستخدمة التي عفا عليها الزمن تشفير 1024 بت.

ميجا لديها موقعين؛ الجبهة التي تواجه mega.co.nz، و static.co.nz. يستخدم الأول التشفير 2048 بت وموثوق بها، في حين أن هذا الأخير يستخدم التشفير 1024 بت ويمكن القول يمكن اعتبارها غير موثوق بها. ومع ذلك، كما static.co.nz يخدم التعليمات البرمجية ل mega.co.nz – خادم آمن وموثوق بها – يتم التحقق منها للتأكد من أنه لم يتم تعديله خلال هجوم رجل في وسط.

كان هناك أيضا حجة أنه إذا كان المهاجم يمكن أن يتحايل على التشفير سل، سيتم كسر الأمن ميجا. اعترف ميجا هذه الحقيقة، ولكن أيضا وضع قدرات مثل هذا المهاجم في المنظور، مشيرا إلى “إذا كان يمكنك كسر سل، يمكنك كسر الكثير من الأشياء التي هي أكثر إثارة للاهتمام من ميجا”.

وأخيرا، اعترفت ميجا لفترة وجيزة بوجود أداة ميغاكراكر، التي صممها الباحث الأمني ​​ستيف توماس. في أقل قليلا من 24 ساعة، توماس، المعروف أيضا باسم SC00bz، وضعت تطبيق صغير لاستخراج كلمات مرور المستخدمين من البريد الإلكتروني تأكيد الحساب المرسلة من قبل ميجا في وقت الاشتراك.

تحتوي هذه الرسالة الإلكترونية على رمز تأكيد يحتوي على إصدار متقطع من كلمة مرور المستخدم المضمنة فيه. ميغاكراكر يأخذ هذا الرمز التأكيد، شرائط من التجزئة، ومحاولات للقضاء عليه ضد قائمة من كلمات السر التي يقدمها المهاجم.

يمكن اعتبار تنفيذ ميجا لتأكيد الحساب أفضل بشكل هامشي من الممارسة الضعيفة المتمثلة في إرسال كلمات السر المشفرة مرة أخرى إلى المستخدم عند تسجيل الدخول، حيث يجب تصدع التجزئة لاستعادة كلمة المرور. كما أنها تعتمد على مهاجم الحصول على البريد الإلكتروني، على الرغم من أن العديد من مقدمي البريد الإلكتروني القديمة لا تزال لا تستخدم اتصال آمن، مما يجعل من السهل على رسائل البريد الإلكتروني أن يكون شم على الاتصالات اللاسلكية المشتركة.

احتمال تصدع بنجاح تجزئة كلمة مرور المستخدم هو أقل بكثير لكلمات السر التي تتبع الممارسات الجيدة، مثل عدم اختيار الكلمات القاموس، وقد قال ميجا ببساطة أن ميغاكراكر بمثابة “تذكير ممتاز عدم استخدام التخمينات / قاموس كلمات السر.”

؟ M2M السوق مستبعد مرة أخرى في البرازيل

مكتب التحقيقات الفيدرالي يعتقل أعضاء مزعومين من كراكاس مع موقف لاختراق مسؤولين حكوميين أمريكيين

ووردبحث المستخدمين على تحديث الآن لإصلاح الثقوب الأمنية الحرجة

البيت الأبيض يعين أول رئيس أمن المعلومات الاتحادية

Refluso Acido