মেগা নিরাপত্তা উদ্বেগ সাড়া; কিছু পরিবর্তন প্রতিশ্রুতি দেয়

নতুন চালু ফাইল-স্টোরেজ এবং ভাগ করা সার্ভিস মেগা প্রতিনিধি সাইটের স্থাপত্য এবং তার ক্রিপ্টোগ্রাফিক বৈশিষ্ট্য বাস্তবায়ন সম্পর্কে সাম্প্রতিক সময়ে নিরাপত্তা গবেষকরা দ্বারা উত্থাপিত কয়েকটি উদ্বেগ সম্বলিত।

ইন্টারনেট এবং অভিযুক্ত ডিজিটাল নিষ্ক্রিয়তা কিম ডটকম সম্প্রতি মেগা (মেগা এনক্রিপ্টেড গ্লোবাল অ্যাকসেসের জন্য সংক্ষিপ্ত) চালু করেছে যা 50GB বিনামূল্যে সঞ্চয়স্থান এর মেগা শুধু ডটকম এবং তার দল আশা করে যা মেগা লিমিটেডের ইমেইল, ভয়েস কলিং, ইনস্ট্যান্ট মেসেজিং, এবং ভিডিও স্ট্রিমিং সহ অনলাইন এনক্রিপ্টেড সার্ভিসগুলির একটি স্যুট।

মঙ্গলবার প্রকাশিত একটি ব্লগ পোস্টে মেগা অফিসাররা স্বীকার করেছেন যে কিছু নিরাপত্তা ঝুঁকি গবেষকদের দ্বারা নির্দিষ্ট হয় বৈধ, কিন্তু বলেন যে ব্যবহারকারীদের ইতিমধ্যে তাদের কিছু FAQ (প্রায়শই জিজ্ঞাসিত প্রশ্নাবলী) ওয়েবসাইটের বিভাগের মাধ্যমে জানানো হয়েছে। অন্যান্য সমস্যাগুলির ক্ষেত্রে, তারা কিছু উন্নতির প্রতিশ্রুতি দেয়।

[আরও পাঠ্য: আপনার উইন্ডোজ পিসি থেকে ম্যালওয়্যার সরাতে কিভাবে]

উদাহরণস্বরূপ, এটি উল্লেখ করা হয়েছে যে ব্যবহারকারীদের দ্বারা এনক্রিপশন কীগুলি সাইন- আপ প্রক্রিয়া, এবং পরে তাদের ফাইল এনক্রিপ্ট করতে ব্যবহার করা হয়, অ্যাকাউন্ট পাসওয়ার্ড ব্যবহার করে এনক্রিপ্ট করা হয় এবং শুধুমাত্র মেগা সার্ভারে সংরক্ষণ করা হয়। কোন পাসওয়ার্ড পুনরুদ্ধার বৈশিষ্ট্য নেই, ব্যবহারকারীরা তাদের পাসওয়ার্ডগুলি ভুলে গেলে তাদের ফাইলগুলি ডিক্রিপ্ট করার ক্ষমতা হারিয়ে ফেলবে, কিছু লোক বলেছে।

"এটি সঠিক - একমাত্র কী যে মেগা ব্যবহারকারীর পার্শ্বে সংরক্ষণ করা প্রয়োজন লগইন পাসওয়ার্ড, ব্যবহারকারীর মস্তিষ্কের মধ্যে, "মেগা কর্মকর্তারা বলেন। "এই পাসওয়ার্ড মাস্টার কীকে আনলক করে, যা ফেরতকে ফাইল / ফোল্ডার / শেয়ার / ব্যক্তিগত কীগুলি আনলক করে।"

যাইহোক, একটি পদ্ধতি যা পাসওয়ার্ড ভুলে যাওয়া অবস্থায় ফাইল পুনরুদ্ধারের অনুমতি দেবে তা নিকট ভবিষ্যতে বাস্তবায়িত হবে, তারা বলেছিল. সংশ্লিষ্ট ফাইলগুলির পুনরুদ্ধারের জন্য পাসওয়ার্ড পরিবর্তন এবং প্রাক-এক্সপোর্টকৃত ফাইল কীগুলি আমদানি করার একটি বিকল্প অন্তর্ভুক্ত করা হবে।

নিরাপত্তা গবেষকরা এও উল্লেখ করেছেন যে মাস্টার এনক্রিপশন কীগুলি গণিতের সাহায্যে সাইন-আপে ব্রাউজারের ভিতরে উত্পন্ন হয় র্যান্ডম জাভাস্ক্রিপ্ট ফাংশন এবং এই ফাংশন র্যান্ডম সংখ্যার উত্পন্ন একটি ভাল কাজ করে না যার দ্বারা সতর্ক, যার ফলে যার ফলে একটি ক্রিপ্টোগ্রাফিক দৃষ্টিকোণ থেকে দুর্বল হতে পারে।

প্রতিক্রিয়া, মেগা কর্মকর্তারা বলেন যে এন্ট্রপি- randomness- ব্যবহারকারীর মাউস এবং কীবোর্ড থেকে সংগৃহীত ডেটা ব্যবহার করে যোগ করা হয়। "আমরা এমন একটি বৈশিষ্ট্য যোগ করব যা ব্যবহারকারীকে ম্যানুয়ালি যতটা এনট্রিপি যোগ করতে দেয় সেটি মূল প্রজন্মের সামনে অগ্রসর হওয়ার আগেই মাপসই করে", তিনি বলেন।

মেগা প্রতিনিধিরা সাইটটির জাভাস্ক্রিপ্ট যাচাইকরণ পদ্ধতি কিভাবে কাজ করে তা স্পষ্ট করে দেয়, উল্লেখ্য যে প্রধান HTTPS সার্ভারটি একটি 2048-বিট কী সহ SSL সার্টিফিকেট ব্যবহার করে তা সেকেন্ডারী HTTPS সার্ভার থেকে যে কোডগুলি 1024-বিট কীগুলির সাহায্যে শংসাপত্রগুলি ব্যবহার করা হয় সেগুলি থেকে জাভাস্ক্রিপ্ট কোডের অখণ্ডতা যাচাই করতে ব্যবহৃত হয়। "এটি মূলত নিরাপত্তার বিষয়ে উদ্বেজক ছাড়া বিপুল সংখ্যক ভৌগোলিকভাবে বিভিন্ন সার্ভারে অত্যন্ত অখণ্ডতা-সংবেদনশীল স্ট্যাটিক সামগ্রী হোস্ট করার জন্য আমাদের সক্ষম করে।"

স্টিভ টমাস নামে একজন গবেষক, যেটি "সিক্সবার্জ" নামে অনলাইনে পরিচিত, মঙ্গলবার পাওয়া যায় লিঙ্কে নিশ্চিতকরণ অ্যাকাউন্টের নিবন্ধন প্রক্রিয়ার সময় মেগা দ্বারা প্রেরিত ইমেইলগুলিতে প্রকৃতপক্ষে ব্যবহারকারীর পাসওয়ার্ড হ্যাশ থাকে।

টমাস মেগা ক্র্যাকার নামে একটি টুল প্রকাশ করেন যা এই ধরনের লিঙ্ক থেকে হ্যাশগুলি বের করতে এবং একটি অভিধান আক্রমণের সাহায্যে তাদের ক্র্যাক করার চেষ্টা করতে পারে ।

টুল এর রিলিজের কথা উল্লেখ করে, মেগা ক্র্যাকাররা বলেন যে মেগা ক্র্যাকার "একটি চমৎকার অনুস্মারক যা অনুমানযোগ্য / অভিধান পাসওয়ার্ড ব্যবহার না করে, বিশেষ করে না যদি আপনার পাসওয়ার্ডটি মেগা এ সংরক্ষণ করা সকল ফাইলের মাস্টার এনক্রিপশন কী হিসাবে কাজ করে না। "

যাইহোক, তারা ই-মেইলের মাধ্যমে কেন অ্যাকাউন্টের নিশ্চয়তা লিংক প্রেরণ করেন তা প্রশ্নে ব্যর্থ হয়েছে ব্যবহারকারীর পাসওয়ার্ড হ্যাশটি প্রথম স্থানে রয়েছে। অন্যান্য ওয়েবসাইট দ্বারা ব্যবহৃত সাধারণ কৌশল হল নিশ্চিতকরণ লিংকগুলির জন্য বিশেষভাবে র্যান্ডম কোড জেনারেট করা।

সম্ভাব্য হামলাকারীদের পরে তাদের পাসওয়ার্ড হ্যাশ পাওয়ার থেকে রোধ করার জন্য, ব্যবহারকারীরা সম্ভবত মেগা নিশ্চিতকরণ ইমেইল মুছে ফেলার পর অন্তর্ভুক্ত করাতে ক্লিক করুন লিঙ্ক এবং তাদের অ্যাকাউন্ট সেট আপ।