Facebook
Twitter
De såkalte “hjernepungene” har alltid vært et tema for tung debatt i Bitcoin-verdenen, siden denne løsningen for å lagre midler er langt fra sikker. Å huske passord er vanskelig nok for folk, men det er større bekymringer med hjernepunger enn de fleste forventer, ifølge en ny studie.
Les også: Ethereums Blockchain ‘Makes Most Sense’ for ‘Gamified’ Ride-Sharing
Hjernens lommebøker er iboende usikre
Til tross for ideen om en hjerne lommebok ved hjelp av kryptografi for å legge til et ekstra beskyttelseslag til en Bitcoin-adresse, er konseptet ganske feil. Til slutt kommer det hele ned på at den enkelte bruker velger et sterkt passord, som er da kryptert, slik at brukerne kan lagre hjernens lommebok på blockchain på en ukryptert måte.
Imidlertid hvis det valgte passordet av brukeren er for svakt til å utgjøre en utfordring for brute tvang metoder, er det ingen ekstra sikkerhet å snakke om. Selv om det er umulig å tukle med selve blockchain – der disse hjernepungene lagres ukryptert – gir det ikke en mottiltak for mangelfulle forholdsregler for forbrukernes sikkerhet..
Utgangspunktet for et passordbasert beskyttelseslag er avgjørende for å lage en hjerneboklån, spesielt for Bitcoin brukere. Gitt, dette passordet må være enkelt nok til å huske eller gjenopprette, noe som gjør forbrukerne favorisere en streng med tegn eller ord de har brukt et annet sted før. Det er denne typen forsiktige forholdsregler som gjør hjernens lommebøker iboende usikre, da grunnlaget for passordet er altfor svakt.
Mest verktøy brukes til å lage en hjerne lommebok vil godta ethvert passord – enten ett ord eller en setning – og kryptere denne inngangen med SHA-256 hashing-algoritme. Den samme kryptografiske algoritmen brukes av Bitcoin selv, da den ikke kan reverseres for å finne den originale inngangen. Men samtidig er SHA-256-kryptering relativt billig med hensyn til datamaskinkraften som kreves for å knekke den. Dette gjør at alle i verden med litt tid kan kryptere tilfeldige biter av tekst og teste dem mot alle hjernens lommebøker som er lagret i Bitcoin blockchain.
Fra dårlig til værre
For å gjøre saken enda verre, en ny papir fra Nicolas Courtois (et. al.) ved University College London viser hvordan det har blitt langt mer effektivt å blande og matche hjernens lommeboknøkler. For å sette dette i perspektiv, kan hvem som helst teste nærmere 18 milliarder passordkombinasjoner med hjerneblokk ved hjelp av Amazon Web Services ‘ EC2 til prisen av US $ 1.
Mens det meste av problemet kan tilskrives forbrukerne som bruker svært svake passord, er tjenester brukes til å konvertere passord fra ren tekst til SHA-256 er også skylden. Ved ikke å følge med på utviklingen av kryptografi, gir mange av disse plattformene sub-par sikkerhetsstandarder. Ikke alle disse nettstedene bruker en salt, som vil gi et ekstra sikkerhetslag for brukere av hjernepunger.
Når det er sagt, gir plattformene som tilbyr dette ekstra sikkerhetslaget ved bruk av salt, brukere å hoppe over dette tiltaket hvis de vil. Å gjøre dette ekstra lille trinnet obligatorisk vil være et godt skritt i riktig retning, selv om det fremdeles ikke vil løse problemet med brukere som skriver inn skjøre basispassord. “For eksempel er vi i stand til å undersøke passord i hjerneblommene 2,5 ganger raskere enn den moderne implementeringen som ble presentert på DEF CON for 2 måneder siden,” heter det i et utdrag fra artikkelen. Det legger til:
Vi har kunnet knekke tusenvis av passord, inkludert noen ganske vanskelige. Forskningen vår viser igjen at hjernens lommebøker ikke er sikre, og at ingen skal bruke dem.
Selv om man kan hevde at antallet hjerneblommetter som er lagret på Bitcoin-blockchain er ganske lavt – 884 ble oppdaget i henhold til papiret – dette tallet er fremdeles alarmerende. Spesielt når man husker hvordan alle unntatt 21 av disse hjernepungene ble tappet for midler over tid, de fleste innen få minutter etter at de ble spilt inn på blockchain.
Når alt er sagt og gjort, kommer det til dette: bruk av enkle passord er aldri løsningen, uavhengig av hvordan de blir hash eller kryptert. For å gi hjerne-lommebok-brukere et eksempel på hvor enkelt det er å matche deres usikre passord, lar verktøy som BrainFlayer brukere raskt hash-tekst og teste den mot hjernepungene krypteringsnøkler.
Hva er tankene dine om å bruke en hjerne lommebok generelt? Gi oss beskjed i kommentarene nedenfor!
Kilde: IACR
Bilder med tillatelse fra Shutterstock, Trojan, Ether Camp