Le password sono abbastanza robuste per proteggere i tuoi Bitcoin?

In quest'epoca di hackeraggi e scandali, le password sono davvero in grado di proteggere i tuoi bitcoin?

Ogni indirizzo Bitcoin ha una chiave privata corrispondente, che consente al proprietario di spendere i Bitcoin in esso contenuti, ma anche questa chiave privata deve essere protetta.

La chiave privata del tuo indirizzo Bitcoin pubblico è fondamentale, perché senza di essa, perdere l'accesso alle tue monete. Tuttavia, T puoi KEEP a mente questa chiave, perché è una lunga stringa di caratteri alfanumerici incomprensibili, il che è piuttosto difficile da memorizzare.

Alcune persone proteggono i loro bitcoin conservandoli inportafogli di carta, incorporandoli in un codice QR stampato che può essere scansionato quando necessario. È una buona opzione, ma lascia la chiave privata fisicamente vulnerabile a furto, incendio o caffè.

Un'altra opzione è quella di usare password criptate, una capacità che alcuni portafogli Bitcoin includono. Le password possono anche essere usate per proteggere altri asset importanti correlati a bitcoin, come gli account su un exchange. Tuttavia, il problema qui è che le password T sono neanche così sicure: spesso sono molto più facili da decifrare di quanto ci si aspetterebbe.

Informazioni memorabili

Il software di cracking delle password usa attacchi di dizionario per accedere alle password con la forza bruta, provando milioni di combinazioni di parole note. Quindi, è ingenuo usare "password", "12345" o il nome del tuo cane come password: qualcuno, da qualche parte, probabilmente lo avrà in un elenco, a meno che il tuo cane non si chiami "8%tRuiy0P" anziché "Buffy".

Questo Articolo di Ars Technicaillustra come dei cracker di password relativamente poco dotati possano usare dizionari per provare a mettere insieme le passphrase degli utenti.

Ma aspetta: il tuo exchange online o il tuo portafoglio web crittografa la tua password, quindi sei già protetto, giusto?

T esserne così sicuro. Molte applicazioni che memorizzano una password utilizzeranno quella che è nota come funzione di hashing, passando la password attraverso un calcolo matematico per produrre una stringa di caratteri nota come hash. Il software quindi memorizza quell'hash.

[post-citazione]

Ogni volta che qualcuno prova ad accedere a qualcosa inserendo una password (ad esempio, una chiave privata Bitcoin o un account su un exchange), il software esegue la password attraverso la stessa funzione di hashing e quindi confronta la stringa prodotta con la stringa originariamente memorizzata.

Nessuna password produrrebbe lo stesso hash, quindi, in teoria, solo le persone con accesso alla password potrebbero produrre una corrispondenza.

Tuttavia, poiché una determinata password produrrà sempre lo stesso hash, i cracker di password possono semplicemente eseguire l'hash di tutte le parole nei loro dizionari, per produrre quella che è nota come tabella arcobaleno.

Si tratta di una raccolta di milioni di hash, con riferimenti incrociati alle password che li hanno prodotti. È così che i ladri di password come quelli cheha rubato l'elenco degli hash di LinkedInpotrebbe decodificare le password. Esistono tecniche, come il password salting e l'utilizzo di password più lunghe, che possono rendere questo processo di ricerca molto più difficile, ma è comunque utile per i password cracker.

Anche le password o le passphrase apparentemente intelligenti che usi per proteggere il tuo portafoglio Bitcoin possono essere vulnerabili agli attacchi. Quell'idea di usare lettere casuali o di sostituire il numero "1" con una "l" o una "i"? Scordatevela. Il software ha delle regole per testare contro questo.

Alcune persone più esperte useranno due o tre parole unite insieme, forse con un numero o una lettera vagante buttata lì. "Angrybadger1125” sembra una password fantastica, T è vero?Quando ero un bambino ho sempre voluto fare l'astronauta" suona ancora meglio. Ma queste password T sono invincibili.

Potenza ed efficienza

Il problema, comedelineatoda Joseph Bonneau dell’Università di Cambridge, ecitatoSecondo l'esperto di sicurezza Bruce Schneier, oggi la decifrazione delle password è funzione di due fattori: potenza ed efficienza.

Il primo significa concentrare la potenza di calcolo su qualcosa (lavorare di più), mentre il secondo implica l'utilizzo di modelli di abbinamento delle parole più sofisticati (lavorare in modo più intelligente).

Alcune persone hanno addiritturasiti web minatiper provare a trovare parole e frasi chiave correlate a interessi particolari che possono essere aggiunte agli elenchi e utilizzate per ampliare quegli enormi dizionari.

"Le password sono la democrazia delle tecnologie di autenticazione: sono la cosa peggiore disponibile, tranne tutto il resto", afferma Dan Kaminsky, un ricercatore di sicurezzapiù famoso per aver trovatoquella che nel 2008 si è rivelata una vulnerabilità zero-day per l'intero web sotto forma di vulnerabilità DNS.

Quindi, se pensavi che la tua password ostacolasse la tua chiave privata e un esercito di truffatori online, ripensaci. Ma il punto è che è probabile che scoraggino abbastanza persone da renderle comunque utili.

"La realtà è che è molto probabile che le password funzionino davvero sul campo, ed è per questo che ne siamo dipendenti", afferma Kaminsky.

Mike Hearn

, ONE degli sviluppatori CORE di bitcoin, concorda. Fa un esempio di malware che ruba i portafogli e che circolava qualche tempo fa.

"L'aggiunta della crittografia del portafoglio basata su password ha posto fine a tutto questo, anche se, in teoria, T dovrebbe funzionare molto bene. Un malware ben congegnato può registrare le tue battute e rubare la password, mentre le password deboli potrebbero essere sottoposte a forza bruta".

Continua: "Ma nella pratica, sembra aver alzato abbastanza l'asticella da guadagnare tempo per lo sviluppo di tecniche più potenti, come il Trezor".

Trezor

è un dispositivo hardware progettato per memorizzare una chiave master per accedere al tuo portafoglio Bitcoin , che non divulga mai alcun segreto alla macchina host. Hearn spera che questo prodotto, o i suoi successori, si evolvano in strumenti di sicurezza più generali in futuro.

"Un display, una CPU e dei pulsanti sicuri in formato portatile sono esattamente ciò che serve per risolvere molti problemi di sicurezza complessi."

Kaminsky concorda anche sul fatto che la valuta hardware creata per proteggere gli utenti Bitcoin sarà utile per altri problemi di sicurezza: "Non ho nulla da consigliare direttamente, ma mi aspetto che ciò cambi nel giro di pochi mesi", afferma.

Autenticazione a due fattori

Naturalmente, l'hardware è stato utilizzato per la protezione in passato. L'autenticazione a due fattori (qualcosa che sai, più qualcosa che hai) è un pilastro della sicurezza convenzionale.

La biometria (qualcosa che sei) è stata usata anche per autenticare le persone, garantendo loro l'accesso a risorse privilegiate. Ma entrambe sono ora piene di problemi, entrambe legate alla NSA.

Sono emersi rapporti di recente

che i dispositivi iOS di Apple sono soggetti ad attacchi da parte della NSA, che ha sviluppato un malware che può essere impiantato su ONE dei dispositivi dell'azienda e utilizzato per accedere ai suoi meccanismi interni.

T è ancora chiaro se questo consentirebbe a un aggressore di accedere alle informazioni biometriche dell'impronta digitale sull'ultimo iPhone, ma poi, gli hacker hanno già compromesso questo, rendendolo ampiamente controverso.

Ciò che è più preoccupante è che la Tecnologie di crittografia sviluppata da RSA è ora sospettatodi essere intercettati dalla NSA, mettendo a rischio vaste porzioni di infrastrutture attualmente in uso.RSA nega la collusione, ma T promette nulla di buono almeno per alcune delle forme di 2FA più comunemente utilizzate.

“2FA è più grande di RSA”, protesta Kaminsky, aggiungendo:

"Potresti anche chiederti se la sicurezza è finita perché ora sappiamo che ONE società di sicurezza potrebbe aver saputo o meno (non ne abbiamo idea) di essere stata utilizzata in questo modo".

È vero, ma la domanda sorge spontanea: se RSA è stato violato, a chi altro stava accedendo la NSA? E di chi possiamo fidarci per la protezione 2FA?

"Esistono diverse proposte per 2FA, molte delle quali sono open source (come quella di Google)Autenticatore) e quindi è meno probabile che nasconda una backdoor", afferma Sergio Lerner, esperto di sicurezza e frequente collaboratore degli sforzi di sicurezza di Bitcoin. Anche il software all'interno di Trezor è open source.

"E se temi che 2FA non sia sufficiente, puoi usare 3FA (un token, un'app per smartphone OTP e una password)!" afferma. Questa autenticazione multicanale out-of-band è una caratteristica diPortafoglio sicuro di BitGo.

Gatto e topo

La sicurezza non è mai un gioco a somma zero. È un gioco del gatto e del topo costante, tra chi cerca di proteggere i sistemi e chi cerca di violarli.

Esistono alternative alle password che possono funzionare, ma la trasparenza del design è fondamentale. Ed è improbabile che le password spariscano, il che significa che dovremo trovare un modo per provare a usarle correttamente.

Schneier ha qualche buon consiglio qui.Quando ero un bambino, ho SEMPRE voluto diventare un pilota di linea” T una scelta ottimale, ma puoi trasformarla in una password difficilmente presente in nessuna tabella, prendendo le prime lettere delle parole, sempre che il software o l'app online consenta il formato prodotto.

"Il"Iwab,IAw2ba@p"dovrebbe KEEP in inganno almeno per un po' più a lungo (T usarlo ora, scegline uno tuo), ma è comunque facile da ricordare se si conosce la frase da cui deriva.

Se stai conservando abbastanza denaro in un indirizzo Bitcoin che sarebbe un problema perderlo, e l'autenticazione a due fattori open source T è disponibile, tali precauzioni sembrano valere la pena, T è vero?

Immagine del lucchettotramite Shutterstock