由于报告错误,故事,”研究人员:身份验证裂纹可能会影响数百万,”周四公布,错误地描述攻击互联网身份验证系统的目标。攻击目标数字签名所使用的身份验证令牌由浏览器发送证明用户登录到网站。
这个故事一直在纠正。现在的标题写着:
研究人员:身份验证裂纹可能影响数百万人
和第四和第五段替换为:
这次袭击被认为是如此困难,因为它需要非常精确的测量。这裂缝的身份验证令牌通过测量时间电脑验证数字签名。在一些系统中,服务器会检查用户发送的令牌上的加密签名来证明他已经登录到系统。它会返回一个错误消息就点一个坏角色。这意味着计算机返回一个错误对于一个完全糟糕的令牌一点点的速度比一个第一个字符是正确的。
通过提交签名一次又一次,骑自行车通过人物和测量时间电脑回应,黑客可以最终算出正确的数字签名。
攻击让人伪装成一个合法的网站用户根本不需要登录。