Megaはセキュリティの問題に対応し、パスワードの変更を実装します

Megaが登場して以来、使用されている暗号化からアカウント回復オプションの不足など、セキュリティをどのように処理するかについて多くの懸念がありました。しかし、今では研究者とメディアがこの問題について議論しているので、メガは答えました。メガは「あまり感心していませんでした」しかし、それは正しかった議論を認め、それについて何が計画されているかを明らかにする時間がかかりました。

革新、?M2M市場がブラジルに戻ってくる、セキュリティー、FBIがCrackasのメンバーを逮捕米政府関係者のハッキングに対する態度、セキュリティ、Wordpressは重要なセキュリティホールを修正するために今更新するようユーザーに促す、セキュリティー、ホワイトハウスは連邦最高責任者情報セキュリティ責任者

メガはユーザーが現在持っていることを確認していますが、パスワードを変更する手段はありません。以前は「あなたのパスワードを失う」ということは、サービスにログオンする機能を失うだけでなく、あなたのファイル、期間。

これに対処するために、メガは、「新しいパスワードでマスターキーを再暗号化する」というパスワード変更機能を実装すると同時に、パスワードリセットメカニズムを実装すると述べました。

リセットメカニズムは純粋にユーザーが自分のアカウントに再度ログインできるようにしていますが、ユーザーは以前のキーを使用して暗号化されているため、既存のファイルを読むことはできません。これは、エクスポートされたキーを使用してファイルが暗号化されている場合や、特定の共有キーを使用してファイルが共有されていても、元のキーなしでファイルにアクセスできない場合には問題ありません。

後でロールアウトされる追加の機能強化は、登録時にRSAキーがどのように生成されるかについて、より多くのランダム性またはエントロピーを追加する機能です。現時点では、Math.random()関数を使用してキーが生成されますが、この関数は単独では推測できる擬似乱数しか生成しません。ユーザーのマウスの動きやキーボードの入力を使用して追加のエントロピーが既に提供されていますストローク。将来の拡張により、現在利用可能な比較的短期間ではなく、ユーザが望むならば、手動でエントロピーを追加することが可能になる。

研究者が何度か提起したもう一つの疑問は、Megaが重複排除をどのように管理しているかということでした。その利用規約には、複数のユーザーが重複データをアップロードした場合、同じデータに2回以上書き込むのではなく、単に同じデータにリンクする権利があることが基本的に記載されています。そうすることの主な利点の1つは、ストレージスペースが無駄にならないようにすることです。

データは暗号化されているため、データが重複していることをメガがどのように知っているか疑問視され、Megaがデータを暗号化しないという告発や、データを比較する目的で復号鍵を保持します。

しかし、暗号化されていない形式が何であるかに関係なく、メガは暗号化されたデータを比較します。この節の実際の目的は、単一のユーザーが同じファイルの複数のコピーを格納する場合、または共有キーで暗号化されたファイルを複数のアカウントにコピーする場合です。

メガはこれらの2つの点を認め、これに対処する計画を持っていたが、サイトが直面した数多くの誤った告発もあり、それは自らのJavascriptコード – 信頼できないソースからの信頼を生み出した – 1024ビットの暗号化。

Megaには2つのサイトがあり、正面にはmega.co.nz、static.co.nzに面しています。前者は2048ビットの暗号化を使用し、信頼されていますが、後者は1024ビットの暗号化を使用しており、おそらく信頼できないと見なすことができます。しかし、static.co.nzは、信頼できる安全なサーバーであるmega.co.nzにコードを提供しているため、man-in-the-middle攻撃中に変更されていないことを確認しています。

また、攻撃者がSSL暗号化を迂回する可能性がある場合、メガのセキュリティは壊れるという議論もありました。メガはこの事実を認めただけでなく、「SSLを破ることができれば、メガよりも面白いことをたくさん分けることができます」と述べ、そのような攻撃者の能力を視野に入れました。

最後に、メガはセキュリティ研究者のスティーブ・トーマスが設計したMegaCrackerツールの存在を簡単に認めました。 24時間も経たないうちに、Sc00bzとも呼ばれるThomasは、サインアップ時にメガから送信されたアカウント確認メールからユーザーのパスワードを抽出する小さなアプリケーションを開発しました。

この電子メールには、ユーザーのパスワードのハッシュバージョンが埋め込まれた確認コードが含まれています。 MegaCrackerはこの確認コードを取り、ハッシュを取り除き、攻撃者から提供されたパスワードのリストに対してクラックを試みます。

メガのアカウント確認の実装は、パスワードを回復するためにハッシュを解読する必要があるため、サインイン時にプレーンテキストのパスワードをユーザーに送り返すという貧弱な方法よりもわずかに優れているとみなすことができます。多くの古いメールプロバイダではまだセキュアな接続が使用されていませんが、攻撃者が電子メールを取得することに依存しています。共有ワイヤレス接続で電子メールを簡単に盗聴することができます。

ユーザのパスワードハッシュをうまく解読する確率は、辞書の単語を選んでいないなど、良い方法に従うパスワードではかなり低くなります.Megaは、単に「MegaCrackerは推測可能な/辞書のパスワードを使用しない優れたリマインダ」として機能します。

M2M市場はブラジルに戻ってくる

FBIは、米国の政府関係者をハッキングしたとの態度で、Crackasのメンバーを逮捕した

WordPressは、重要なセキュリティホールを修正するために今アップデートするようユーザに促す

ホワイトハウス、連邦最高情報セキュリティ責任者を任命