Facebook
Twitter
Tako imenovane “možganske denarnice” so bile v svetu Bitcoinov že od nekdaj močne razprave, saj ta rešitev za shranjevanje sredstev še zdaleč ni varna. Zapomnitev gesel je ljudem dovolj težko, vendar je z novo denarnico več skrbi, kot predvideva večina ljudi, kaže nova študija.
Preberite tudi: Ethereumov Blockchain ‘naredi najbolj smiseln’ za ‘Gamified’ delitev vožnje
Možganske denarnice so same po sebi negotove
Kljub ideji o možganska denarnica Z uporabo kriptografije za dodajanje dodatne ravni zaščite naslovu Bitcoin je koncept precej napačen. Na koncu se vse zgodi, da posamezen uporabnik izbere močno geslo, kar je potem šifrirano, omogoča uporabnikom, da shranijo svojo možgansko denarnico na verigo blokov na nekodiran način.
Če pa je izbrano geslo uporabnika prešibko, da bi mu postalo izziv izsiljevanje metode, ni nobene dodatne varnosti, o kateri bi govorili. Čeprav je nemogoče posegati v sam blockchain – tam, kjer so te možganske denarnice shranjene nešifrirane – ne zagotavlja protiukrepa za nejasne varnostne ukrepe za varstvo potrošnikov.
Izhodišče katere koli zaščitne plasti, ki temelji na geslu, je ključnega pomena pri ustvarjanju možganske denarnice, zlasti za Bitcoin uporabnikov. Seveda mora biti to geslo dovolj enostavno, da si ga zapomnimo ali obnovimo, kar potrošnike olajša naklonjenost niz znakov ali besed, ki so jih že kdaj uporabljali. Zaradi te vrste previdnih varnostnih ukrepov so možganske denarnice same po sebi negotove, saj je osnova za geslo prešibka.
Večina orodja za ustvarjanje možganske denarnice sprejme katero koli geslo – bodisi eno besedo bodisi stavek – in ta vnos šifrira z SHA-256 algoritem zgoščevanja. Isti kriptografski algoritem uporablja tudi Bitcoin sam, saj ga ni mogoče obrniti, da bi našli prvotni vhod. Toda hkrati je šifriranje SHA-256 razmeroma poceni glede na računalniško moč, ki je potrebna za njegovo razbijanje. To omogoča vsakomur na svetu, ki ima nekaj časa, da šifrira naključne koščke besedila in jih preizkusi v vseh možganskih denarnicah, shranjenih v verigi Bitcoin.
Od slabega do slabšega
Da bo stvar še hujša, novo papir Nicolasa Courtoisa (et al.) na University College London prikazuje, kako je postalo veliko bolj učinkovito mešati in ujemati ključe možganske denarnice. Če želite to predstaviti v perspektivi, lahko vsakdo preizkusi blizu 18 milijard kombinacij gesel za možgansko denarnico z uporabo Amazon Web Services EC2 za ceno 1 USD.
Medtem ko je večino težav mogoče pripisati potrošnikom, ki uporabljajo zelo šibka gesla, pa storitve za pretvorbo gesel iz navadnega besedila v SHA-256 so prav tako krivi. Ker te platforme niso uspele slediti razvoju kriptografije, zagotavljajo podstandardne varnostne standarde. Vsa ta spletna mesta ne uporabljajo a sol, kar bi uporabnikom možganske denarnice zagotovilo dodatno plast varnosti.
Glede na to platforme, ki ponujajo to dodatno varnostno plast uporabe soli, uporabnikom omogočajo, da ta ukrep preskočijo, če želijo. Če bi bil ta izredno majhen korak obvezen, bi bil dober korak v pravo smer, čeprav s tem še vedno ne bi odpravili težave z vnosom krhkih osnovnih gesel. “Gesla v možganskih denarnicah lahko na primer pregledamo 2,5-krat hitreje kot najsodobnejša izvedba, predstavljena na DEF CON pred dvema mesecema,” piše v odlomku prispevka. Dodaja:
Uspeli smo razbiti tisoče gesel, vključno z nekaterimi precej težkimi. Naša raziskava ponovno dokazuje, da možganske denarnice niso varne in jih nihče ne bi smel uporabljati.
Čeprav bi lahko trdili, da je število možganskih denarnic, shranjenih v Bitcoin blockchainu, dokaj nizko – odkrili so jih 884 po papirju – ta številka je še vedno zaskrbljujoča. Še posebej, če upoštevamo, kako so bile vse te možganske denarnice, razen 21, sčasoma izčrpane, večina jih je bila v nekaj minutah po tem, ko so bile zabeležene na verigi blokov.
Ko je vse rečeno in končano, pride do tega: uporaba preprostih gesel ni nikoli rešitev, ne glede na to, kako so zgoščena ali šifrirana. Da bi uporabnikom možganske denarnice zagotovili primer, kako enostavno se ujemajo z njihovimi negotovo gesli, orodja, kot je BrainFlayer, uporabnikom omogočajo hitro razpršitev besedila in ga preizkusijo v šifrirnih ključih možganskih denarnic.
Kakšne so vaše misli o uporabi možganske denarnice na splošno? Sporočite nam v komentarjih spodaj!
Vir: IACR
Slike iz ljubezni Shutterstock, Trojan, Ether Camp