Facebook
Twitter
De så kallade “hjärnplånböckerna” har alltid varit ett ämne för tung debatt i Bitcoin-världen, eftersom denna lösning för att lagra medel är långt ifrån säker. Att memorera lösenord är tillräckligt svårt för människor, men det finns större bekymmer med hjärnplånböcker än vad de flesta förväntar sig, enligt en ny studie.
Läs också: Ethereums Blockchain ‘Makes Most Sense’ för ‘Gamified’ Ride-Sharing
Hjärnplånböcker är inneboende osäkra
Trots tanken på en hjärnplånbok med hjälp av kryptografi för att lägga till ett ytterligare lager av skydd till en Bitcoin-adress är konceptet ganska bristfälligt. I slutändan handlar allt om att den enskilda användaren väljer ett starkt lösenord, vilket är då krypterad, vilket gör det möjligt för användare att lagra sin hjärnplånbok på blockkedjan på ett okrypterat sätt.
Men om användarens valda lösenord är för svagt för att utgöra en utmaning brute forcing metoder finns det ingen ytterligare säkerhet att tala om. Även om det är omöjligt att manipulera själva blockkedjan – där dessa hjärnplånböcker lagras okrypterade – ger det inte en motåtgärd för svagare säkerhetsåtgärder.
Utgångspunkten för ett lösenordsbaserat skyddsskikt är avgörande för att skapa en hjärnplånbok, särskilt för Bitcoin användare. Beviljas, det här lösenordet måste vara tillräckligt enkelt för att komma ihåg eller återhämta sig, vilket gör konsumenterna förmån en rad tecken eller ord de har använt någon annanstans tidigare. Det är denna typ av svag försiktighetsåtgärd som gör hjärnplånböckerna i sig osäkra, eftersom grunden för lösenordet är alldeles för svag.
Mest verktyg används för att skapa en hjärnplånbok kommer att acceptera alla lösenord – antingen ett ord eller en mening – och kryptera denna inmatning med SHA-256 hashing-algoritm. Samma kryptografiska algoritm används av Bitcoin själv, eftersom den inte kan omvandlas för att hitta originalinmatningen. Men samtidigt är SHA-256-kryptering relativt billig med avseende på den datorkraft som krävs för att knäcka den. Detta gör att alla i världen med lite tid kan kryptera slumpmässiga bitar av text och testa dem mot alla hjärnplånböcker som är lagrade i Bitcoin blockchain.
Från dåligt till värre
För att göra saken ännu värre, en ny papper från Nicolas Courtois (et al.) vid University College London visar hur det har blivit mycket effektivare att blanda och matcha hjärnplånboksnycklar. För att sätta detta i perspektiv kan vem som helst testa nära 18 miljarder lösenordskombinationer i hjärnplånboken med Amazon Web Services ‘ EC2 till priset av 1 US $.
Även om det mesta av problemet kan tillskrivas konsumenter som använder mycket svaga lösenord, är tjänster används för att konvertera lösenord från vanlig text till SHA-256 är också skyldiga. Genom att inte följa utvecklingen av kryptografi tillhandahåller många av dessa plattformar säkerhetsstandarder som inte är lika. Inte alla dessa webbplatser använder en salt-, vilket skulle ge ytterligare ett säkerhetsskikt för användare av hjärnplånboken.
Med detta sagt tillåter plattformarna som erbjuder detta ytterligare säkerhetsskikt för att använda salt, användare att hoppa över denna åtgärd om de vill. Att göra detta extra lilla steg obligatoriskt skulle vara ett bra steg i rätt riktning, även om det fortfarande inte skulle lösa problemet med att användare skriver in ömtåliga lösenord. “Vi kan till exempel undersöka lösenord i hjärnplånböcker 2,5 gånger snabbare än den senaste tekniska implementeringen som presenterades på DEF CON för två månader sedan”, lyder ett utdrag ur tidningen. Det tillägger:
Vi har kunnat knäcka tusentals lösenord inklusive några ganska svåra. Vår forskning visar igen att hjärnplånböcker inte är säkra och att ingen ska använda dem.
Även om man kan argumentera är antalet hjärnplånböcker som lagras i Bitcoin blockchain ganska lågt – 884 upptäcktes enligt till tidningen – det numret är fortfarande alarmerande. Speciellt när man tänker på hur alla utom 21 av dessa hjärnplånböcker tappades av pengar över tiden, de flesta inom några minuter efter att de spelats in på blockchain.
När allt är sagt och gjort kommer det till detta: att använda enkla lösenord är aldrig lösningen, oavsett hur de hashas eller krypteras. För att ge användare av hjärnplånböcker ett exempel på hur enkelt det är att matcha deras osäkra lösenord, låter verktyg som BrainFlayer snabbt hashtext och testa det mot hjärnplånböckernas krypteringsnycklar.
Vad tycker du om att använda en hjärnplånbok i allmänhet? Låt oss veta i kommentarerna nedan!
Källa: IACR
Bilder med tillstånd av Shutterstock, Trojan, Ether Camp