Чи достатньо надійні паролі, щоб захистити ваші біткоіни?

Чи справді паролі здатні захистити ваші біткоіни в цю епоху хакерів і скандалів?

Кожна Bitcoin адреса має відповідний приватний ключ, який дозволяє власнику витрачати біткойни на ній, але цей приватний ключ також потребує захисту.

Закритий ключ для вашої загальнодоступної Bitcoin адреси має вирішальне значення, тому що без нього ви це зробите втратите доступ до своїх монет. Однак ви T можете KEEP цей ключ у своїй голові, тому що це довгий рядок буквено-цифрової тарабарщини, яку досить непрактично запам’ятати.

Деякі люди захищають свої біткойни, зберігаючи їх паперові гаманці, вставивши їх у друкований QR-код, який за потреби можна відсканувати. Це хороший варіант, але він залишає закритий ключ фізично вразливим до крадіжки, пожежі чи кави.

Іншим варіантом є використання зашифрованих паролів, можливість, яку включають деякі Bitcoin гаманці. Паролі також можна використовувати для захисту інших важливих активів, пов’язаних з біткойнами, наприклад облікових записів на біржі. Однак проблема тут полягає в тому, що паролі також T є такими безпечними: їх часто набагато легше зламати, ніж ви очікували.

Пам'ятна інформація

Програмне забезпечення для злому паролів використовує словникові атаки, щоб отримати доступ до паролів грубою форсою, пробуючи мільйони комбінацій відомих слів. Таким чином, наївно використовувати «пароль», «12345» або ім’я вашої собаки як пароль – хтось, десь, напевно, матиме це в списку, якщо тільки вашу собаку не називають «8%tRuiy0P», а не «Баффі».

Це Стаття Ars Technica розповідає, як відносно бездарні зломщики паролів можуть використовувати словники, щоб спробувати з’єднати парольні фрази користувачів.

Але зачекайте – ваша онлайн-біржа або веб-гаманець шифрує ваш пароль, тож ви вже захищені, чи не так?

T будь таким впевненим. Багато програм, які зберігають пароль, використовують так звану функцію хешування, пропускаючи пароль через математичні обчислення для створення рядка символів, відомого як хеш. Потім програмне забезпечення зберігає цей хеш.

[пост-цитата]

Щоразу, коли хтось намагається отримати доступ до чогось, ввівши пароль (скажімо, приватний ключ Bitcoin або обліковий запис на біржі), програмне забезпечення запускає пароль через ту саму функцію хешування, а потім порівнює створений рядок із рядком, який був спочатку збережений.

Немає двох паролів, які створять однаковий хеш, тому, теоретично, тільки люди, які мають доступ до пароля, можуть створити збіг.

Однак, оскільки певний пароль завжди створюватиме однаковий хеш, зломщики паролів можуть просто хешувати всі слова у своїх словниках, щоб створити так звану райдужну таблицю.

Це набір мільйонів хешів із перехресними посиланнями на паролі, які їх створили. Ось як злодії паролів люблять тих, хто вкрав список хешів LinkedIn може розшифрувати паролі. Існують методи, такі як підбір пароля та використання довших паролів, які можуть значно ускладнити процес пошуку, але він все одно корисний для зломщиків паролів.

Навіть, здавалося б, розумні паролі або парольні фрази, які ви використовуєте для захисту свого Bitcoin гаманця, можуть бути вразливими для атак. Ця ідея використання випадкових літер або заміни цифри «1» на «l» чи «i»? Забудьте про це. Програмне забезпечення має правила для тестування проти цього.

Деякі більш кмітливі люди вживатимуть два-три слова, з’єднані разом, можливо, з додаванням цифри чи випадкової літери.ngrybadger1125” звучить як чудовий пароль, чи T так? «Коли я був хлопчиком, я завжди хотів бути космонавтом” звучить навіть краще. Але ці паролі T є непереможними.

Потужність і ефективність

Проблема, як окреслено Джозефа Бонно з Кембриджського університету цитується гуру безпеки Брюса Шнайера, полягає в тому, що сьогодні злом паролів залежить від двох речей: потужності та ефективності.

Перший означає використання обчислювальної потужності для чогось (працювати більше), тоді як другий передбачає використання більш складних моделей зіставлення слів (працювати розумніше).

Деякі люди навіть видобуті сайти щоб спробувати знайти спеціальні пов’язані з інтересами слова та парольні фрази, які можна додати до списків і використати для розширення цих величезних словників.

«Паролі — це демократія технологій автентифікації — вони найгірша з усіх доступних, крім усього іншого», — каже Ден Камінські, дослідник безпеки найвідоміший за знахідку що склало вразливість нульового дня для всієї мережі у вигляді вразливості DNS у 2008 році.

Отже, якщо ви думали, що ваш пароль став на заваді вашому закритому ключу та армії онлайн-шахраїв, подумайте ще раз. Але справа в тому, що вони, швидше за все, відлякують достатньо людей, щоб вони все одно були вартими уваги.

«Реальність така, що паролі, швидше за все, справді спрацьовують у польових умовах, тому ми залежні від них», — каже Камінські.

Майк Хірн

, ONE із CORE розробників біткойнів, погоджується. Він наводить приклад шкідливого програмного забезпечення для крадіжки гаманців, яке поширювалося деякий час тому.

"Додавання шифрування гаманця на основі пароля поклало цьому край – хоча, теоретично, це не T працювати дуже добре. Добре створене зловмисне програмне забезпечення може реєструвати ваші натискання клавіш і викрадати пароль, тоді як слабкі паролі можуть бути піддані грубій форсу".

Він продовжує: «Але на практиці, здається, планка піднялася достатньо, щоб виграти час для розробки сильніших методів, таких як Trezor».

Трезор

це апаратний пристрій, призначений для зберігання головного ключа для доступу до вашого Bitcoin гаманця, який ніколи не розголошує жодних секретів головній машині. Гірн сподівається, що цей продукт або його наступники в майбутньому стануть більш загальними інструментами безпеки.

«Захищений дисплей, центральний процесор і портативні кнопки — це саме те, що потрібно для вирішення багатьох складних проблем безпеки».

Камінський також погоджується, що апаратна валюта, яка створюється для захисту користувачів Bitcoin, буде корисною для вирішення інших проблем безпеки: «Я не можу нічого прямо порекомендувати, але я очікую, що це зміниться через невелику кількість місяців», — каже він.

Двофакторна аутентифікація

Апаратне забезпечення, звичайно, використовувалося для захисту раніше. Двофакторна автентифікація (щось, що ви знаєте, плюс те, що у вас є) є основою традиційної безпеки.

Біометричні дані (тобто ви) також використовувалися для автентифікації людей, надаючи їм доступ до привілейованих ресурсів. Але обидва зараз пов'язані з проблемами, обидва пов'язані з АНБ.

Нещодавно з’явилися повідомлення

що пристрої Apple iOS піддаються атаці з боку АНБ, яке розробило шкідливе програмне забезпечення, яке можна імплантувати на ONE із пристроїв компанії та використовувати для доступу до його внутрішньої роботи.

Поки що T , чи дозволить це зловмиснику отримати доступ до біометричної інформації про відбитки пальців на останньому iPhone, але тоді, хакери вже скомпрометували це, що робить його значною мірою спірним.

Більше тривоги викликає Технології шифрування, розроблена RSA тепер підозрюється бути під контролем АНБ, що ставить під загрозу величезні ділянки інфраструктури, яка зараз використовується. RSA заперечує змову, але це T віщує нічого доброго принаймні для деяких поширених форм 2FA.

«2FA більше, ніж RSA», — протестує Камінський, додаючи:

«Ви також можете запитати, чи безпека закінчилася, тому що тепер ми знаємо, що ONE охоронна компанія могла знати або не знати (ми поняття не маємо), що її використовували таким чином».

Це правда, але виникає запитання: якщо RSA була закритою, до кого ще АНБ також мала доступ? І кому ми можемо довірити захист 2FA?

«Є кілька пропозицій щодо 2FA, багато з них із відкритим кодом (наприклад, Google Автентифікатор) і тому менше шансів приховати бекдор", — каже Серхіо Лернер, експерт із безпеки та постійний внесок у зусилля з безпеки біткойнів. Програмне забезпечення всередині Trezor також має відкритий код.

«І якщо ви боїтеся, що 2FA недостатньо, тоді ви можете використовувати 3FA (токен, одноразовий пароль для смартфона та пароль)!» каже він. Ця багатоканальна позасмугова автентифікація є функцією Захищений гаманець BitGo.

Кот і мишка

Безпека ніколи не є грою з нульовою сумою. Це постійна гра в кішки-мишки між тими, хто намагається захистити системи, і тими, хто намагається їх зламати.

Є альтернативи паролям, які можуть працювати, але прозорість дизайну є ключовою. А паролі навряд чи зникнуть, а це означає, що нам доведеться знайти спосіб спробувати їх правильно використовувати.

У Шнайєра є хороша порада. «Коли я був хлопчиком, я ЗАВЖДИ хотів бути пілотом авіакомпанії" T чудовим вибором, але ви можете перетворити його на пароль, який навряд чи буде в будь-якій таблиці, взявши перші літери слів, якщо програмне забезпечення або онлайн-додаток допускає формат, який він створює.

«ВIwab,IAw2ba@p” має KEEP їх в оману принаймні трохи довше (T використовуйте це зараз – виберіть власний), але його все одно легко пригадати, якщо ви знаєте фразу, з якої він походить.

Якщо ви зберігаєте на Bitcoin адресі достатньо грошей, щоб втратити їх було б боляче, а 2FA з відкритим кодом T , такі запобіжні заходи здаються вартими зусиль, чи T так?

Зображення замка через Shutterstock