Facebook
Twitter
De såkaldte “hjernebøger” har altid været et emne med tung debat i Bitcoin-verdenen, da denne løsning til opbevaring af midler langt fra er sikker. At huske adgangskoder er svært nok for folk, men der er større bekymringer med hjernepungerne, end de fleste mennesker forventer, ifølge en ny undersøgelse.
Læs også: Ethereums Blockchain ‘Makes Most Sense’ til ‘Gamified’ Ride-Sharing
Hjernebøger er iboende usikre
På trods af ideen om en hjerne tegnebog ved hjælp af kryptografi til at tilføje et ekstra beskyttelseslag til en Bitcoin-adresse er konceptet ret mangelfuld. I sidste ende kommer det hele ned til, at den enkelte bruger vælger en stærk adgangskode, som det er krypteret, giver brugerne mulighed for at gemme deres hjernepung på blockchain på en ukrypteret måde.
Men hvis brugerens valgte adgangskode er for svag til at udgøre en udfordring for brute tvang metoder, er der ingen yderligere sikkerhed at tale om. Selv om det er umuligt at manipulere med selve blockchain – hvor disse hjernepunge opbevares ukrypteret – giver det ikke en modforanstaltning for mangelfulde forholdsregler for forbrugernes sikkerhed..
Udgangspunktet for ethvert adgangskodebaseret beskyttelseslag er afgørende for oprettelse af en hjernepung, især til Bitcoin brugere. Indrømmet, denne adgangskode skal være let nok til at huske eller gendanne, hvilket gør forbrugerne favor en række tegn eller ord, de har brugt et andet sted før. Det er denne type mangelfulde forsigtighed, der gør hjernepungerne iboende usikre, da grundlaget for adgangskoden er alt for svagt.
Mest værktøjer bruges til at oprette en hjerne tegnebog accepterer ethvert kodeord – enten et ord eller en sætning – og krypterer dette input med SHA-256 hashing-algoritme. Den samme kryptografiske algoritme bruges af Bitcoin selv, da den ikke kan omvendt konstrueres for at finde den originale input. Men på samme tid er SHA-256-kryptering relativt billig med hensyn til computerkraft, der kræves for at knække den. Dette gør det muligt for enhver i verden med noget tid at kryptere tilfældige stykker tekst og teste dem mod alle hjernebøgerne, der er gemt i Bitcoin blockchain.
Fra dårligt til værre
For at gøre tingene endnu værre, en ny papir fra Nicolas Courtois (et al.) ved University College London viser, hvordan det er blevet langt mere effektivt at blande og matche hjernens tegnebogsnøgler. For at sætte dette i perspektiv kan enhver teste tæt på 18 milliarder hjerne-tegnebogskombinationer ved hjælp af Amazon Web Services ‘ EC2 til prisen på US $ 1.
Mens det meste af problemet kan tilskrives forbrugere, der bruger meget svage adgangskoder, er det tjenester bruges til at konvertere adgangskoder fra almindelig tekst til SHA-256 er også skylden. Ved ikke at følge med i udviklingen af kryptografi leverer mange af disse platforme sub-par sikkerhedsstandarder. Ikke alle disse websteder bruger en salt, hvilket ville give et ekstra lag af sikkerhed til brugere af hjernebøger.
Når det er sagt, giver platformene, der tilbyder dette ekstra sikkerhedslag ved brug af salt, brugerne mulighed for at springe over denne foranstaltning, hvis de vil. At gøre dette ekstra lille trin obligatorisk ville være et godt skridt i den rigtige retning, selvom det stadig ikke ville løse problemet med brugere, der indtaster skrøbelige basisadgangskoder. ”For eksempel er vi i stand til at undersøge adgangskoder i hjernebøger 2,5 gange hurtigere end den moderne implementering, der blev præsenteret på DEF CON for 2 måneder siden,” lyder et uddrag fra papiret. Det tilføjer:
Vi har været i stand til at knække tusindvis af adgangskoder, herunder nogle ret vanskelige. Vores forskning viser igen, at hjernepungerne ikke er sikre, og at ingen skal bruge dem.
Selvom man kan argumentere for, at antallet af hjernebøger, der er gemt på Bitcoin-blockchain, er ret lavt – 884 blev opdaget ifølge til papiret – dette tal er stadig alarmerende. Især når man husker, hvordan alle undtagen 21 af disse hjernebøger blev drænet af midler over tid, de fleste inden for få minutter efter at være blevet optaget på blockchain.
Når alt er sagt og gjort, kommer det ned til dette: brug af enkle adgangskoder er aldrig løsningen, uanset hvordan de hashes eller krypteres. For at give hjerne-tegnebog-brugere et eksempel på, hvor let det er at matche deres usikre adgangskoder, giver værktøjer som BrainFlayer brugerne hurtig hash-tekst og tester den mod hjernepunges krypteringsnøgler.
Hvad er dine tanker om at bruge en hjerne tegnebog generelt? Lad os vide i kommentarerne nedenfor!
Kilde: IACR
Billeder med tilladelse fra Shutterstock, Trojan, Ether Camp