白帽黑客发布比特币脑钱包掠夺者,每秒可猜测13万个密码
脑钱包是什么?脑钱包是一种叠代类型的比特币钱包,其中密码并不是数字化进行存储,而是存储在用户的记忆当中。
脑钱包,其最初的设想,是让敏感的钱包数据能够实现离线,并使比特币地址更容易被记住,脑钱包所使用的,是单一的长密码和短语,将其转换成一个私钥,一个公钥以及一个地址。
脑钱包安全么?似乎并不安全,一位白帽黑客发布了一个工具,而其目的,正是为了说明脑钱包的不安全性。这种工具通过使用一种离线的攻击方式,就可以迅速地猜测到可能的密码,看看它们是否是正确的。
数字反欺诈公司White Ops的安全研究员 Ryan Castellucci公布了这项研究,指出脑钱包存在主要的缺陷。他强调说,最终的比特币地址是记录在区块链上,作为一个密码哈希散列。当密码哈希用于网站认证时,它会帮助你确定所提供的词或短语正确与否,这意味着这个数据可以被黑客用作寻找密码的参考。
8月7日在DEF CON 23大会(世界上最大的年度黑客大会之一)上, Castellucci发布了这款脑钱包解密工具,称之为Brainflayer
(脑钱包抢夺者),它能够每秒猜测130,000
个密码。根据Castellucci表示,该软件若在强大的计算机上进行运算,1美元
的成本就可以核对5.6亿个短语密码
。
Castellucci 表示,将这种暴力破解软件,应用到ASCII密码以及 XKCD密码时,那些四位常用单词组成的密码,一个僵尸网络就可以在一天内,核对出所有收到过资金的比特币地址。
在采访中,Castellucci 强调说,尽管他发布的工具可能被犯罪分子利用,他希望这个工具的发布,能够鼓励比特币用户去采用更好、更安全的做法。
在该工具发布之后,BrainWallet.org,一个使用JavaScript来生成用户私钥的网站,决定下线,此举受到了比特币安全社区成员的广泛好评。
项目的起源
根据Castellucci表示,这个项目的想法最初是在2013年中旬时出现,那时候比特币用户第一次发布了使用脑钱包的安全问题。
大约在同一时间,红迪网一位名为btcrobinhood
的白帽黑客开始偷取脑钱包用户的资金,然后将这些偷来的资金返还给失主,试图揭露这项技术的漏洞。
受此启发,Castellucci创造了一个原始版本的掠夺者,其能够每秒猜测10,000个密码,这与现在的Brainflayer能力相去甚远。尽管如此,他回忆说,这个简单的程序仍然取得了出色的成绩。
当他回到自己的电脑面前时,他发现原型版本的Brainflayer已经检索了250 BTC
,也就是说掠夺了价值2万美元的比特币。
Castellucci说自己面临了道德上的压力,他自己不知道该如何去做。
“有一段时间我停止了我的研究,”他说,“我希望这个问题能够自行消失,毕竟,很多专家都在说,脑钱包是坏的。”
但是问题并没有消失,于是,他决定重返他的研究。
他在最近的博客中写道:
“我的想法是,如果有人像我一样发现了一个bug,在与世界分享之前,他们会努力地去让这个bug得到修正。我过去做到了这一点,而且我认为这是正确的方法。”
建议
此外,他建议那些正在使用脑钱包的用户,可以考虑下WarpWallets
,目前被认为是改善过的迭代产品。warpwallet的生成器可以使用Keybase,例如,可以让用户再也不必将他们的私钥保存或存储在任何地方,他们只需要挑选“一个很好的密码”就可以了。
Castellucci说,关于WarpWallets,用于散列函数的“盐”(salt
)或者随机数据,会被集成到方程式。这意味着,如果一个用户的盐是他们的邮件地址,那么潜在的小偷想要偷取资金,就需要同时掌握这个盐以及密码。
当然,Castellucci还建议那些使用这种钱包的人,可以使用diceware生成口令,其生产的密码是通过一对骰子以及一个随机数生产器而产生。
“想要让人们抛弃使用例如他们狗的名字,以及他们的生日作为密码,似乎是一件非常困难的事情,Scrypt救不了那些使用’P@ssw0rd’为密码的人,” 他说,“很多人似乎认为,长密码就是安全的密码,我想我已经证明,这未必是对的。”
后续工作
当记者问他计划如何继续他的工作时,Castellucci说,他仍在考虑后续行动。
最后,他还感叹说:
“我还是担心会出现另一家大型的脑钱包网站,撇开加密货币,如果你发现了一堆不知道是属于谁的钱,你可以把它们交给警察,让他们来处理。但是加密货币,谁会去干这样的事情呢?这样的法律后果会是什么?我不知道。”
----
原文:http://www.coindesk.com/new-cracking-tool-exposes-major-flaw-in-bitcoin-brainwallets/
作者:Pete Rizzo
编译:洒脱喜
责编:洒脱喜
稿源(译):资讯
免责声明:
1.本文内容综合整理自互联网,观点仅代表作者本人,不代表本站立场。
2.资讯内容不构成投资建议,投资者应独立决策并自行承担风险。
- 贝佐斯最后一封股东信:宇宙希望你成为普通人,千万别让它成为现实2021-04-19 17:02
- Props,让互联网与区块链无缝对接的「中间件」2021-04-19 17:02
- Coinbase高管到底卖了多少股票?2021-04-19 16:03
- 通往未来之路:下一代互联网与Metaverse2021-04-19 16:03
- 央行前行长周小川谈比特币:要提醒,要小心2021-04-19 15:03
- 链上新知 |电子图片卖出7000万美金,让马斯克都来站台的NFT究竟是什么?2021-04-19 15:02
- Crypto VC,LP怎么投?2021-04-19 13:03
- 周末比特币融资利率跌至-0.03%低点,为7个月以来最低水平2021-04-19 11:02