मेगा सुरक्षा चिंताओं का जवाब देता है; कुछ बदलावों का वादा करता है

नए लॉन्च किए गए फ़ाइल-स्टोरेज और साझा करने वाली सेवा मेगा के प्रतिनिधि साइट के आर्किटेक्चर और इसकी क्रिप्टोग्राफिक सुविधाओं के कार्यान्वयन के बारे में हाल के दिनों में सुरक्षा शोधकर्ताओं द्वारा उठाए गए कुछ चिंताओं को संबोधित किया।

इंटरनेट और आरोपी डिजिटल आउटलेट किम डॉटकॉम ने हाल ही में मेगा (मेगा एन्क्रिप्टेड ग्लोबल एक्सेस के लिए छोटा) लॉन्च किया, जिसमें 50 जीबी मुफ्त भंडारण का। मेगा डॉट कॉम का एक घटक है और उनकी टीम आशा ईमेल, वॉयस कॉलिंग, इंस्टेंट मैसेजिंग और वीडियो स्ट्रीमिंग सहित मेगा लिमिटेड से ऑनलाइन एन्क्रिप्टेड सेवाओं का एक सूट होगा।

मंगलवार को प्रकाशित एक ब्लॉग पोस्ट में, मेगा अधिकारियों ने स्वीकार किया कि शोधकर्ताओं द्वारा इंगित कुछ सुरक्षा जोखिम मान्य हैं, लेकिन कहा कि उपयोगकर्ताओं को वेबसाइट के अक्सर पूछे जाने वाले प्रश्न (अक्सर पूछे जाने वाले प्रश्न) अनुभाग के माध्यम से उनमें से कुछ के बारे में सूचित किया गया है। अन्य मुद्दों के मामले में, उन्होंने कुछ सुधारों का वादा किया।

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

उदाहरण के लिए, यह इंगित किया गया है कि साइन-इन के दौरान उपयोगकर्ताओं द्वारा उत्पन्न एन्क्रिप्शन कुंजी- अप प्रक्रिया, और जिसे बाद में अपनी फ़ाइलों को एन्क्रिप्ट करने के लिए उपयोग किया जाता है, खाता पासवर्ड का उपयोग करके एन्क्रिप्ट किया जाता है और केवल मेगा के सर्वर पर संग्रहीत किया जाता है। चूंकि कोई पासवर्ड वसूली सुविधा नहीं है, इसलिए उपयोगकर्ता अपने पासवर्ड को भूलने की क्षमता खो देंगे, कुछ लोग कहते हैं।

"यह सही है- केवल एकमात्र कुंजी है कि मेगा को उपयोगकर्ता पक्ष पर संग्रहीत करने की आवश्यकता है लॉग इन पासवर्ड, उपयोगकर्ता के मस्तिष्क में, "मेगा अधिकारियों ने कहा। "यह पासवर्ड मास्टर कुंजी को अनलॉक करता है, जो बदले में फ़ाइल / फ़ोल्डर / शेयर / निजी कुंजी को अनलॉक करता है।"

हालांकि, एक तंत्र जो पासवर्ड भूल जाने पर फाइलों की वसूली की अनुमति देगा निकट भविष्य में लागू किया जाएगा, उन्होंने कहा। इसमें संबंधित फ़ाइलों को पुनर्प्राप्त करने के लिए पासवर्ड बदलने और पूर्व-निर्यात की गई फाइल कुंजियों को आयात करने का विकल्प शामिल होगा।

सुरक्षा शोधकर्ताओं ने यह भी ध्यान दिया कि गणित का उपयोग करके साइन-अप पर ब्राउज़र के अंदर मास्टर एन्क्रिप्शन कुंजी उत्पन्न होती है । यादृच्छिक जावास्क्रिप्ट फ़ंक्शन और चेतावनी दी है कि यह फ़ंक्शन यादृच्छिक संख्याएं उत्पन्न करने का अच्छा काम नहीं करता है, जिसका अर्थ है कि परिणामी कुंजी क्रिप्टोग्राफिक दृष्टिकोण से कमजोर हो सकती हैं।

प्रतिक्रिया में, मेगा अधिकारियों ने कहा कि एंट्रॉपी-यादृच्छिकता- उपयोगकर्ता के माउस और कीबोर्ड से एकत्रित डेटा का उपयोग करके जोड़ा जाता है। उन्होंने कहा, "हालांकि, हम एक ऐसी सुविधा जोड़ देंगे जो उपयोगकर्ता को मुख्य रूप से एंट्रॉपी जोड़ने की इजाजत देता है क्योंकि वह मुख्य पीढ़ी पर आगे बढ़ने से पहले फिट बैठता है।" 99

मेगा प्रतिनिधियों ने यह भी स्पष्ट किया कि साइट की जावास्क्रिप्ट सत्यापन प्रणाली कैसे काम करती है, यह नोट करते हुए कि मुख्य HTTPS सर्वर जो 2048-बिट कुंजी के साथ SSL प्रमाणपत्र का उपयोग करता है, का उपयोग माध्यमिक HTTPS सर्वर से प्रदान किए गए जावास्क्रिप्ट कोड की अखंडता को सत्यापित करने के लिए किया जाता है जो 1024-बिट कुंजी के साथ प्रमाणपत्र का उपयोग करता है। उन्होंने कहा, "यह मूल रूप से हमें सुरक्षा के बारे में चिंता किए बिना बड़ी संख्या में भौगोलिक दृष्टि से विविध सर्वरों पर अत्यंत अखंडता-संवेदनशील स्थिर सामग्री की मेजबानी करने में सक्षम बनाता है।" 99

स्टीव थॉमस नामक एक शोधकर्ता, जिसे "Sc00bz" के रूप में ऑनलाइन जाना जाता है, ने मंगलवार को पाया कि खाता पंजीकरण प्रक्रिया के दौरान मेगा द्वारा भेजे गए पुष्टिकरण ईमेल में शामिल लिंक में वास्तव में उपयोगकर्ता का पासवर्ड हैश होता है।

थॉमस ने मेगाक्रैकर नामक एक उपकरण जारी किया जिसका उपयोग ऐसे लिंक से हैंश निकालने के लिए किया जा सकता है और एक शब्दकोश हमले का उपयोग करके उन्हें क्रैक करने का प्रयास किया जा सकता है ।

टूल की रिहाई पर टिप्पणी करते हुए, मेगा अधिकारियों ने कहा कि मेगाक्रैकर "एक उत्कृष्ट अनुस्मारक है जो अनुमानित / शब्दकोश पासवर्ड का उपयोग नहीं करना है, विशेष रूप से यदि आपका पासवर्ड मेगा पर संग्रहीत सभी फ़ाइलों के लिए मास्टर एन्क्रिप्शन कुंजी के रूप में भी कार्य करता है। "

हालांकि, वे इस सवाल को हल करने में असफल रहे कि ईमेल के माध्यम से खाता पुष्टिकरण लिंक क्यों भेजे गए हैं, जिसमें पहले स्थान पर उपयोगकर्ता का पासवर्ड हैश शामिल है। अन्य वेबसाइटों द्वारा उपयोग की जाने वाली सामान्य तकनीक विशेष रूप से पुष्टिकरण कोड के लिए यादृच्छिक कोड उत्पन्न करना है।

संभावित हमलावरों को बाद में अपना पासवर्ड हैश प्राप्त करने से रोकने के लिए, उपयोगकर्ताओं को संभवतः शामिल होने पर क्लिक करने के बाद मेगा पुष्टिकरण ईमेल को हटाना चाहिए लिंक और अपने खाते की स्थापना।