LedgerはTangem暗号カードのブルートフォース脆弱性を提供しています。弱いパスワードはパッチ修正なしで簡単にハッキングされる可能性があります。ユーザー間のセキュリティを強化する時です。
LedgerはTangemカードを使用した暗号通貨ウォレットにおいて、壊滅的な欠陥を発見しました。このバグは、セキュリティ遅延を克服して、より高い速度でブルートフォースログインを行うために、ティアリング攻撃を使用します。この認識は、ウォレットのセキュリティに関する深刻な問題を引き起こします。
Ledger Donjonチームは、Tangemのセキュアチャネルとパスワード保護の詳細な検査に続いてこの問題を明らかにしました。
タンジェムはパスワードの取得を難しくするために内蔵の遅延カウンターを持っていますが、現在攻撃者は約2.5パスワードを毎秒生成することができます。これは、45秒に1回の推測という計画された速度よりも100倍以上速いです。
Tangemカードには、失敗した場合にパスワードの再入力を遅らせるセキュリティシステムがあります。失敗した試行は最大45秒の遅延を引き起こします。
これにより、特に長いパスワードに対してブルートフォース攻撃が実行不可能になる傾向があります。この攻撃は、カードの重要な機能で電源供給を切断するテアリング手法を利用します。
これにより、カードの失敗カウンターが適切に更新されなくなります。その結果、攻撃者は遅延をバイパスし、ほぼ無限にパスワードを試すことができるようになります。
Ledgerがカードの電源オフのタイミングウィンドウを約6700マイクロ秒の狭い時間範囲に設定した研究は、セキュリティ遅延の発生を防ぎました。
カード内のチップの電磁波放出を分析することに加えて、電源が切断された場合、攻撃者は信号による遅延前にパスワードの推測が正しいかどうかを判断することもできます。
Tangemが提供するセキュリティチャネル暗号化は、データの交換を安全にするために開発されており、その弱点を強化します。
暗号化に使用される鍵の値は、ユーザーのパスワードに基づいています。これにより、チャネルの暗号を解読することは、パスワードを解読することと同じくらい難しくなります。
Ledgerは5000ドル以下の価格の機器で実験を行ったため、その結果、物理的にアクセスできる多数の攻撃者に攻撃が可能となった。
残念ながら、現在のTangemカードのバージョンにはこの欠陥を修正するパッチはありません。
出典 ledger.com
一般的または弱いパスワードは、そのような攻撃に非常に脆弱です。例を挙げると、4桁のPINは侵入なしで5日かかるのに対し、1時間未満でハッキングされる可能性があります。
6文字または8文字のパスワードは、依然としてセキュリティが高いとはいえ、かなり弱いです。
Tangemは、ユーザーに対して、文字、数字、記号を含む8文字以上のパスワードを使用することを推奨しています。
それは重要です。なぜなら、簡単なパスワードや辞書ベースのパスワードは、何年もかかるのではなく、数日で破られる可能性があるからです。
彼の報告書では、Tangemに適切に開示されたもので、Ledgerは強力なユーザーパスワードを使用してパスワードポリシーの実施を勧め、ユーザーがそれを行う権利があると助言しました。弱いパスワードのユーザーはリスクを最小限に抑えるためにアップグレードする必要があります。Tangemはその問題が脆弱ではないと言ってリスクを過小評価しています。しかし、Ledgerが提供する技術分析は、実際の侵害が存在し、それが損害を与える可能性があることを強調しています。
49.3K 人気度
49.9K 人気度
50.7K 人気度
38.3K 人気度
6.9K 人気度
レジャーは重要なウォレットのパスワードの欠陥を明らかにしました
LedgerはTangem暗号カードのブルートフォース脆弱性を提供しています。弱いパスワードはパッチ修正なしで簡単にハッキングされる可能性があります。ユーザー間のセキュリティを強化する時です。
LedgerはTangemカードを使用した暗号通貨ウォレットにおいて、壊滅的な欠陥を発見しました。このバグは、セキュリティ遅延を克服して、より高い速度でブルートフォースログインを行うために、ティアリング攻撃を使用します。この認識は、ウォレットのセキュリティに関する深刻な問題を引き起こします。
Ledger Donjonチームは、Tangemのセキュアチャネルとパスワード保護の詳細な検査に続いてこの問題を明らかにしました。
タンジェムはパスワードの取得を難しくするために内蔵の遅延カウンターを持っていますが、現在攻撃者は約2.5パスワードを毎秒生成することができます。これは、45秒に1回の推測という計画された速度よりも100倍以上速いです。
攻撃がウォレットのセキュリティを破壊する方法。
Tangemカードには、失敗した場合にパスワードの再入力を遅らせるセキュリティシステムがあります。失敗した試行は最大45秒の遅延を引き起こします。
これにより、特に長いパスワードに対してブルートフォース攻撃が実行不可能になる傾向があります。この攻撃は、カードの重要な機能で電源供給を切断するテアリング手法を利用します。
これにより、カードの失敗カウンターが適切に更新されなくなります。その結果、攻撃者は遅延をバイパスし、ほぼ無限にパスワードを試すことができるようになります。
Ledgerがカードの電源オフのタイミングウィンドウを約6700マイクロ秒の狭い時間範囲に設定した研究は、セキュリティ遅延の発生を防ぎました。
カード内のチップの電磁波放出を分析することに加えて、電源が切断された場合、攻撃者は信号による遅延前にパスワードの推測が正しいかどうかを判断することもできます。
Tangemが提供するセキュリティチャネル暗号化は、データの交換を安全にするために開発されており、その弱点を強化します。
暗号化に使用される鍵の値は、ユーザーのパスワードに基づいています。これにより、チャネルの暗号を解読することは、パスワードを解読することと同じくらい難しくなります。
Ledgerは5000ドル以下の価格の機器で実験を行ったため、その結果、物理的にアクセスできる多数の攻撃者に攻撃が可能となった。
残念ながら、現在のTangemカードのバージョンにはこの欠陥を修正するパッチはありません。
弱いパスワード使用者の深刻なリスク
出典 ledger.com
一般的または弱いパスワードは、そのような攻撃に非常に脆弱です。例を挙げると、4桁のPINは侵入なしで5日かかるのに対し、1時間未満でハッキングされる可能性があります。
6文字または8文字のパスワードは、依然としてセキュリティが高いとはいえ、かなり弱いです。
Tangemは、ユーザーに対して、文字、数字、記号を含む8文字以上のパスワードを使用することを推奨しています。
それは重要です。なぜなら、簡単なパスワードや辞書ベースのパスワードは、何年もかかるのではなく、数日で破られる可能性があるからです。
彼の報告書では、Tangemに適切に開示されたもので、Ledgerは強力なユーザーパスワードを使用してパスワードポリシーの実施を勧め、ユーザーがそれを行う権利があると助言しました。弱いパスワードのユーザーはリスクを最小限に抑えるためにアップグレードする必要があります。Tangemはその問題が脆弱ではないと言ってリスクを過小評価しています。しかし、Ledgerが提供する技術分析は、実際の侵害が存在し、それが損害を与える可能性があることを強調しています。