Sapat na ba ang Mga Password upang Protektahan ang Iyong Bitcoins?

Sa panahong ito ng mga hack at iskandalo, talagang kaya ng mga password na protektahan ang iyong mga bitcoin?

Ang bawat Bitcoin address ay may kaukulang pribadong key, na nagbibigay-daan sa may-ari na gastusin ang mga bitcoin dito, ngunit ang pribadong key na ito ay nangangailangan din ng pagprotekta.

Ang pribadong key para sa iyong pampublikong Bitcoin address ay mahalaga, dahil kung wala ito, gagawin mo ito mawalan ng access sa iyong mga barya. Gayunpaman, T mo maaaring KEEP ang susi na ito sa iyong ulo, dahil ito ay isang mahabang string ng alphanumeric gibberish, na sa halip ay hindi praktikal na isaulo.

Pinoprotektahan ng ilang tao ang kanilang mga bitcoin sa pamamagitan ng pag-iimbak nito mga wallet ng papel, i-embed ang mga ito sa isang naka-print na QR code na maaaring i-scan kapag kinakailangan. Magandang opsyon iyon, ngunit iniiwan nito ang pribadong key na pisikal na masugatan sa pagnanakaw, sunog, o kape.

Ang isa pang pagpipilian ay ang paggamit ng mga naka-encrypt na password, isang kakayahan na kasama ng ilang Bitcoin wallet. Magagamit din ang mga password para protektahan ang iba pang mahahalagang asset na nauugnay sa bitcoin, gaya ng mga account sa isang exchange. Gayunpaman, ang problema dito ay T rin ganoon ka-secure ang mga password: kadalasan ay mas madaling ma-crack ang mga ito kaysa sa iyong inaasahan.

Hindi malilimutang impormasyon

Gumagamit ang software sa pag-crack ng password ng mga pag-atake sa diksyunaryo upang i-access ang mga password sa pamamagitan ng mahigpit na puwersa, sa pamamagitan ng pagsubok sa milyun-milyong kumbinasyon ng mga kilalang salita. Kaya, walang muwang gumamit ng "password", "12345", o ang pangalan ng iyong aso bilang iyong password - isang tao, sa isang lugar, ay malamang na magkakaroon niyan sa isang listahan, maliban kung ang iyong aso ay tinatawag na "8%tRuiy0P" sa halip na "Buffy".

Ito Artikulo ng Ars Technica naglalakad sa kung paano medyo walang talento ang mga cracker ng password na maaaring gumamit ng mga diksyunaryo upang subukan at pagsama-samahin ang mga passphrase ng user.

Ngunit maghintay - ine-encrypt ng iyong online exchange o web wallet ang iyong password, kaya protektado ka na, tama ba?

T masyadong sigurado. Maraming application na nag-iimbak ng password ang gagamit ng tinatawag na hashing function, na nagpapasa sa password sa pamamagitan ng mathematical na pagkalkula upang makagawa ng string ng mga character na kilala bilang hash. Pagkatapos ay iniimbak ng software ang hash na iyon.

[post-quote]

Sa tuwing sinusubukan ng sinuman na makakuha ng access sa isang bagay sa pamamagitan ng paglalagay ng password, (sabihin, isang Bitcoin private key, o isang account sa isang exchange), pinapatakbo ng software ang password sa pamamagitan ng parehong pag-hash function, at pagkatapos ay inihahambing ang string na ginawa sa string na orihinal na naka-imbak.

Walang dalawang password ang makakagawa ng parehong hash – kaya, ayon sa teorya, tanging ang mga taong may access sa password ang makakagawa ng tugma.

Gayunpaman, dahil ang isang partikular na password ay palaging gagawa ng parehong hash, ang mga password cracker ay maaaring i-hash lang ang lahat ng mga salita sa kanilang mga diksyunaryo, upang makagawa ng tinatawag na rainbow table.

Iyan ay isang koleksyon ng milyun-milyong mga hash, na naka-cross reference sa mga password na gumawa sa kanila. Ganyan ang mga magnanakaw ng password sa mga taong ninakaw ang listahan ng mga hash ng LinkedIn maaaring mag-decode ng mga password. May mga diskarte, tulad ng pag-salting ng password at paggamit ng mas mahahabang password, na maaaring gawing mas mahirap ang proseso ng paghahanap na ito, ngunit kapaki-pakinabang pa rin ito para sa mga cracker ng password.

Kahit na ang tila matalinong mga password o passphrase na ginagamit mo upang protektahan ang iyong Bitcoin wallet ay maaaring maging mahina sa pag-atake. Ang ideyang iyon ng paggamit ng mga random na titik o pagpapalit ng numerong '1' para sa isang 'l' o isang 'i'? Kalimutan mo na. Ang software ay may mga panuntunan para sa pagsubok laban doon.

Ang ilang mas matalinong tao ay gagamit ng dalawa o tatlong salita na pinagsama-sama, marahil ay may numero o ligaw na titik na itinapon.ngrybadger1125” Mukhang isang mahusay na password, hindi T ? “Noong bata pa ako, gusto kong maging astronaut” mas maganda pa. Ngunit ang mga password na ito ay T matatalo.

Kapangyarihan at kahusayan

Ang problema, bilang binalangkas ni Joseph Bonneau ng Unibersidad ng Cambridge, at binanggit ng security guru na si Bruce Schneier, ang pag-crack ng password ngayon ay isang function ng dalawang bagay: kapangyarihan, at kahusayan.

Ang una ay nangangahulugan ng paghagis ng kapangyarihan sa pag-compute sa isang bagay (nagtatrabaho nang mas mahirap), habang ang pangalawa ay nagsasangkot ng paggamit ng mas sopistikadong mga modelo ng pagtutugma ng salita (mas matalinong gumagana).

Ang ilang mga tao ay may kahit na minahan na mga website upang subukan at maghanap ng mga espesyal na salita at passphrase na nauugnay sa interes na maaaring idagdag sa mga listahan, at gamitin upang dagdagan ang malalaking diksyunaryo.

"Ang mga password ay ang demokrasya ng mga teknolohiya sa pagpapatunay - ang mga ito ang pinakamasamang bagay na magagamit, maliban sa lahat ng iba pa," sabi ni Dan Kaminsky, isang mananaliksik sa seguridad pinaka sikat sa paghahanap kung ano ang katumbas ng isang zero-day na kahinaan para sa buong web sa anyo ng isang kahinaan ng DNS noong 2008.

Kaya, kung naisip mo na ang iyong password ay humahadlang sa iyong pribadong key at isang hukbo ng mga online crooks, isipin muli. Ngunit ang punto ay malamang na hahadlangan nila ang sapat na mga tao upang gawin pa rin silang sulit.

"Ang katotohanan ay ang mga password ay malamang na talagang gumana sa larangan, kaya naman kami ay gumon sa kanila," sabi ni Kaminsky.

Mike Hearn

Sumasang-ayon si , ONE sa mga CORE developer ng bitcoin. Nagbigay siya ng halimbawa ng malware na nagnanakaw ng pitaka na umiikot kanina.

"Ang pagdaragdag ng pag-encrypt ng wallet na nakabatay sa password ay huminto dito - kahit na, sa teorya, hindi ito T gumana nang mahusay. Maaaring i-log ng mahusay na pagkakagawa ng malware ang iyong mga keystroke at nakawin ang password, habang ang mahihinang password ay maaaring malupit."

Nagpatuloy siya: "Ngunit sa pagsasagawa, tila sapat na ang pagtaas nito upang bumili ng oras para sa pagbuo ng mas malakas na mga diskarte, tulad ng Trezor."

Trezor

ay isang hardware device na idinisenyo upang mag-imbak ng master key para sa pag-access sa iyong Bitcoin wallet, na hindi kailanman nagbubunyag ng anumang mga lihim sa host machine. Umaasa si Hearn na ang produktong ito, o mga kahalili nito, ay magiging mas pangkalahatang mga tool sa seguridad sa hinaharap.

"Ang isang secure na display, CPU at mga button sa portable na anyo ay eksakto kung ano ang kailangan upang malutas ang maraming nakakalito na isyu sa seguridad."

Sumasang-ayon din si Kaminsky na ang pera ng hardware na binuo upang protektahan ang mga gumagamit ng Bitcoin ay magiging kapaki-pakinabang para sa iba pang mga problema sa seguridad: "Wala akong direktang mairerekomenda, ngunit inaasahan kong magbabago iyon sa loob ng maliit na bilang ng mga buwan," sabi niya.

Dalawang-factor na pagpapatunay

Ang hardware ay ginamit para sa proteksyon dati, siyempre. Ang dalawang-factor na pagpapatotoo (isang bagay na alam mo, kasama ang isang bagay na mayroon ka) ay isang mainstay ng maginoo na seguridad.

Ang biometrics (isang bagay na ikaw ay) ay ginamit din upang patotohanan ang mga tao, na nagbibigay sa kanila ng access sa mga pribilehiyo na mapagkukunan. Ngunit pareho sa mga ito ngayon ay puno ng mga problema, parehong may kaugnayan sa NSA.

Lumitaw kamakailan ang mga ulat

na ang mga iOS device ng Apple ay napapailalim sa pag-atake mula sa NSA, na nakabuo ng malware na maaaring itanim sa ONE sa mga device ng kumpanya at magamit upang ma-access ang mga panloob na gawain nito.

T pa malinaw kung ito ay magbibigay-daan sa isang umaatake na ma-access ang biometric na impormasyon ng fingerprint sa pinakabagong iPhone, ngunit pagkatapos, nakompromiso na ito ng mga hacker, ginagawa itong higit na pinagtatalunan.

Ang mas nakakabahala ay ang Technology ng pag-encrypt na binuo ng RSA ngayon ay pinaghihinalaan na maging back-doored ng NSA, na naglalagay ng malaking bahagi ng kasalukuyang ginagamit na imprastraktura sa panganib. Itinanggi ng RSA ang pakikipagsabwatan, ngunit T ito maganda para sa hindi bababa sa ilang karaniwang ginagamit na anyo ng 2FA.

"Ang 2FA ay mas malaki kaysa sa RSA," protesta ni Kaminsky, idinagdag:

"Maaari mo ring itanong kung tapos na ang seguridad dahil ngayon alam namin na maaaring alam o hindi alam ng ONE kumpanya ng seguridad (wala kaming ideya) na ginagamit sila sa ganitong paraan."

Totoo iyon, ngunit nagtatanong ito: kung back-doored ang RSA, sino pa ang ina-access ng NSA? At sino ang mapagkakatiwalaan natin sa proteksyon ng 2FA?

“Mayroong ilang panukala para sa 2FA, marami sa mga ito ay open source (gaya ng Google's Authenticator) at mas malamang na magtago ng backdoor," sabi ni Sergio Lerner, isang eksperto sa seguridad at madalas na nag-aambag sa mga pagsisikap sa seguridad ng bitcoin. Ang software sa loob ng Trezor ay open source din.

"At kung natatakot kang hindi sapat ang 2FA, maaari mong gamitin ang 3FA (isang token, isang OTP smartphone app, at isang password)!" sabi niya. Ang multi-channel, out-of-band authentication na ito ay isang tampok ng Secure na wallet ng BitGo.

Pusa at daga

Ang seguridad ay hindi kailanman isang zero-sum game. Ito ay isang pare-parehong larong pusa at daga, sa pagitan ng mga nagsisikap na protektahan ang mga system, at ng mga nagsisikap na sirain ang mga ito.

May mga alternatibo sa mga password na maaaring gumana, ngunit ang transparency ng disenyo ay susi. At malamang na hindi mawawala ang mga password, ibig sabihin ay kailangan nating humanap ng paraan para subukan at gamitin ang mga ito nang maayos.

May magandang payo si Schneier dito. “Noong bata pa ako, gusto kong maging piloto ng eroplano” ay T isang mahusay na pagpipilian, ngunit maaari mong gawin itong isang password na malamang na hindi nasa anumang talahanayan, sa pamamagitan ng pagkuha ng mga unang titik ng mga salita, hangga't pinapayagan ng software o online na app ang format na ginagawa nito.

“WIwab,IAw2ba@p” dapat KEEP silang lokohin nang kahit kaunti (T gamitin ito ngayon – piliin ang iyong sarili), ngunit madali pa ring maalala kung alam mo ang pariralang pinanggalingan nito.

Kung nag-iimbak ka ng sapat na pera sa isang Bitcoin address na masasaktan kung mawala ito, at T available ang open source na 2FA, ang mga ganitong pag-iingat ay mukhang sulit ang pagsisikap, hindi T ?

Larawan ng padlock sa pamamagitan ng Shutterstock