Theo công ty khởi nghiệp ví tiền điện tử Dfns, một số liên kết ma thuật – một phương thức đăng nhập không cần mật khẩu được sử dụng bởi số lượng ví tiền điện tử và ứng dụng web ngày càng tăng – có một lỗ hổng nghiêm trọng.
Liên kết ma thuật là một URL duy nhất, sử dụng một lần được tạo bởi một trang web hoặc ứng dụng để xác thực người dùng mà không yêu cầu họ nhập mật khẩu. Khi người dùng nhấp vào một liên kết ma thuật do ứng dụng web gửi cho họ, nó sẽ xác minh danh tính của họ và đăng nhập họ vào tài khoản của họ.
Nhưng Dfns cho biết các liên kết ma thuật – có thể được triển khai khác nhau từ ứng dụng này sang ứng dụng khác – thường kém an toàn hơn rất nhiều so với các phương thức đăng nhập truyền thống hơn.
Dfns phân loại lỗ hổng bảo mật mà nó phát hiện là một khai thác “zero day” – nghiêm trọng đến mức về cơ bản khiến các liên kết ma thuật trở nên độc hại đối với các nhà phát triển. Với sự phổ biến của các liên kết ma thuật ngoài ví tiền điện tử (ví dụ: chúng được sử dụng bởi một số trình quản lý mật khẩu phổ biến), Dfns cho biết trong một tuyên bố rằng lỗ hổng bảo mật có thể “gây rủi ro đáng kể cho một phần đáng kể của nền kinh tế toàn cầu. ”
(Bởi Sam Kessler)
Tất cả bình luận