白帽黑客发布BTC脑钱包掠夺者,每秒可猜测13万个密码

时间:2021-07-03 23:51       来源: www.wnhdyynk.com

他在近期的博客中写道:

“我的想法是,假如有人像我一样发现了一个bug,在与世界推荐之前,他们会努力地去让这个bug得到修正。我过去做到了这一点,而且我觉得这是正确的办法。”

除此之外,他建议那些正在用脑钱包的用户,可以考虑下WarpWallets,现在被觉得是改变过的迭代商品。warpwallet的生成器可以用Keybase,比如,可以让用户再也不势必他们的私钥保存或存储在任何地方,他们仅需挑选“一个非常不错的密码”就好了。

Castellucci说,关于WarpWallets,用于散列函数的“盐”(salt)或者随机数据,会被集成到方程式。这意味着,假如一个用户的盐是他们的邮件地址,那样潜在的小偷想要偷取资金,就需要同时学会这个盐与密码。

当然,Castellucci还建议那些用这种钱包的人,可以用diceware生成口令,其生产的密码是通过一对骰子与一个随机数生产器而产生。

“想要被人们抛弃用比如他们狗的名字,与他们的过生日作为密码,好像是一件很不简单的事情,Scrypt救不了那些用’P@ssw0rd’为密码的人,” 他说,“大多数人好像觉得,长密码就是安全的密码,我想我已经证明,这未必是对的。”

当记者问他计划怎么样继续他的工作时,Castellucci说,他仍在考虑后续行动。

最后,他还感叹说:

“我还是担忧会出现另一家大型的脑钱包网站,撇开数字货币,假如你发现了一堆不知晓是是哪个的钱,你可以把它们交给警察,让他们来处置。但数字货币,哪个会去干这种事情呢?如此的法律后果会是什么?我不知晓。”

脑钱包是什么?脑钱包是一种叠代种类的BTC钱包,其中密码并非数字化进行存储,而是存储在用户的记忆当中。

脑钱包,其刚开始的设想,是让敏锐的钱包数据可以达成离线,并使BTC地址更容易被记住,脑钱包所用的,是单一的长密码和短语,将其转换成一个私钥,一个公钥与一个地址。

脑钱包安全么?好像并不安全,一位白帽黑客发布了一个工具,而其目的,正是为了说明脑钱包的不安全性。这种工具通过用一种离线的攻击方法,就可以飞速地猜测到可能的密码,看看它们是不是是正确的。

数字反欺诈公司White Ops的安全研究员 Ryan Castellucci公布了这项研究,指出脑钱包存在主要的缺点。他强调说,最后的BTC地址是记录在区块链上,作为一个密码哈希散列。当密码哈希用于网站认证时,它会帮你确定所提供的词或短语正确与否,这意味着这个数据可以被黑客用作探寻密码的参考。

8月7日在DEF CON 23大会(世界上最大的年度黑客大会之一)上, Castellucci发布了这款脑钱包解密工具,称之为Brainflayer(脑钱包抢夺者),它可以每秒猜测130,000个密码。依据Castellucci表示,该软件若在强大的计算机上进行运算,1USD的本钱就可以核对5.6亿个短语密码

Castellucci 表示,将这种暴力破解软件,应用到ASCII密码与 XKCD密码时,那些四位常用单词组成的密码,一个僵尸互联网就可以在一天内,核对出所有收到过资金的BTC地址。

在采访中,Castellucci 强调说,尽管他发布的工具可能被犯罪分子借助,他期望这个工具的发布,可以鼓励BTC用户去使用更好、更安全的做法。

在该工具发布之后,BrainWallet.org,一个用JavaScript来生成用户私钥的网站,决定下线,此举遭到了BTC安全社区成员的广泛好评。

依据Castellucci表示,这个项目的想法刚开始是在2013年中旬时出现,那时候BTC用户首次发布了用脑钱包的安全问题。

大约在同一时间,红迪网一位名为btcrobinhood的白帽黑客开始偷取脑钱包用户的资金,然后将这部分偷来的资金返还给失主,试图揭露这项技术的漏洞。

受此启发,Castellucci创造了一个原始版本的掠夺者,其可以每秒猜测10,000个密码,这与目前的Brainflayer能力相去甚远。尽管这样,他回忆说,这个容易的程序仍然获得了出色的成绩。

当他回到我们的电脑面前时,他发现原型版本的Brainflayer已经检索了250 比特币,也就是说掠夺了价值2万USD的BTC。

Castellucci说自己面临了道德上的重压,他一个人不知晓该怎么样去做。

“有一段时间我停止了我的研究,”他说,“我期望这个问题可以自行消失,毕竟,不少专家都在说,脑钱包是坏的。”

但问题并没消失,于是,他决定重返他的研究。

----


此文出于传递更多信息之目的,并不意味着同意其看法或证实其描述。本网站所提供的信息,只供参考之用。

« 上一篇:BTC市场:上涨或下跌-这都取决于你
» 下一篇:没有了

相关推荐