Достаточно ли надежны пароли для защиты ваших биткоинов?

В этот век взломов и скандалов действительно ли пароли способны защитить ваши биткоины?

Каждый Bitcoin адрес имеет соответствующий ему закрытый ключ, который позволяет владельцу тратить биткойны, но этот закрытый ключ также нуждается в защите.

Закрытый ключ для вашего публичного Bitcoin адреса имеет решающее значение, поскольку без него вы не сможете потерять доступ к своим монетам. Однако вы T сможете KEEP этот ключ в голове, поскольку это длинная строка буквенно-цифровой тарабарщины, которую довольно непрактично запоминать.

Некоторые люди защищают свои биткоины, храня их вбумажные кошельки, встраивая их в печатный QR-код, который можно сканировать при необходимости. Это хороший вариант, но он делает закрытый ключ физически уязвимым для кражи, огня или кофе.

Другой вариант — использовать зашифрованные пароли, возможность, которую включают некоторые Bitcoin кошельки. Пароли также могут использоваться для защиты других важных активов, связанных с биткойнами, таких как аккаунты на бирже. Однако проблема здесь в том, что пароли также T так уж и безопасны: их часто гораздо легче взломать, чем можно было бы ожидать.

Памятная информация

Программное обеспечение для взлома паролей использует атаки по словарю для доступа к паролям методом перебора, перебирая миллионы комбинаций известных слов. Таким образом, наивно использовать в качестве пароля «пароль», «12345» или имя вашей собаки — у кого-то где-то это наверняка есть в списке, если только вашу собаку не зовут «8%tRuiy0P», а не «Баффи».

Этот Статья Ars Technicaрассказывается о том, как относительно бездарные взломщики паролей могут использовать словари, чтобы попытаться собрать воедино пользовательские парольные фразы.

Но подождите — ваша онлайн-биржа или веб-кошелек шифруют ваш пароль, так что вы уже защищены, верно?

T будьте так уверены. Многие приложения, хранящие пароль, будут использовать то, что известно как хеш-функция, пропуская пароль через математические вычисления для получения строки символов, известной как хеш. Затем программное обеспечение сохраняет этот хеш.

[после цитаты]

Всякий раз, когда кто-либо пытается получить доступ к чему-либо, введя пароль (например, к закрытому ключу Bitcoin или учетной записи на бирже), программное обеспечение пропускает пароль через ту же функцию хеширования, а затем сравнивает полученную строку с изначально сохраненной строкой.

Никакие два пароля не создадут одинаковый хеш, поэтому теоретически совпадение могут создать только те люди, у которых есть доступ к паролю.

Однако, поскольку конкретный пароль всегда будет давать один и тот же хеш, взломщики паролей могут просто хешировать все слова в своих словарях, чтобы создать так называемую радужную таблицу.

Это коллекция миллионов хэшей, перекрестно ссылающихся на пароли, которые их создали. Вот как воры паролей, такие как те, ктоукрал список хэшей LinkedInможет расшифровать пароли. Существуют методы, такие как соленые пароли и использование более длинных паролей, которые могут значительно усложнить этот процесс поиска, но он все равно полезен для взломщиков паролей.

Даже, казалось бы, умные пароли или парольные фразы, которые вы используете для защиты своего Bitcoin кошелька, могут быть уязвимы для атаки. Эта идея использования случайных букв или замены цифры «1» на «l» или «i»? Забудьте об этом. В программном обеспечении есть правила для тестирования против этого.

Некоторые более сообразительные люди используют два или три слова, соединенных вместе, возможно, с добавлением цифры или случайной буквы. «Angrybadger1125” Звучит как отличный пароль, не T ли?Когда я был мальчиком, я всегда хотел стать космонавтом.” звучит даже лучше. Но эти пароли T являются неуязвимыми.

Мощность и эффективность

Проблема, какобрисованный в общих чертахДжозефом Бонно из Кембриджского университета ицитируетсягуру безопасности Брюс Шнайер, заключается в том, что сегодня взлом паролей зависит от двух факторов: мощности и эффективности.

Первый вариант подразумевает направление вычислительной мощности на что-либо (работа более интенсивно), а второй предполагает использование более сложных моделей сопоставления слов (работа более разумно).

У некоторых людей даже естьзаминированные веб-сайтыпопытаться найти специальные слова и парольные фразы, которые можно добавить в списки и использовать для дополнения этих огромных словарей.

«Пароли — это демократия технологий аутентификации. Это худшее, что есть на свете, если не считать всего остального», — говорит Дэн Камински, исследователь в области безопасности.наиболее известен тем, что нашелчто в 2008 году привело к уязвимости нулевого дня для всего Интернета в виде уязвимости DNS.

Итак, если вы думали, что ваш пароль стоит на пути вашего личного ключа и армии интернет-мошенников, подумайте еще раз. Но суть в том, что они, скорее всего, отпугнут достаточно людей, чтобы все равно сделать их стоящими.

«Реальность такова, что пароли с большой вероятностью действительно работают в полевых условиях, поэтому мы так зависимы от них», — говорит Камински.

Майк Хирн

, ONE из CORE разработчиков биткоина, соглашается. Он приводит пример вредоносного ПО для кражи кошельков, которое циркулировало некоторое время назад.

«Добавление шифрования кошелька на основе пароля положило этому конец — хотя в теории это T должно работать как следует. Хорошо продуманное вредоносное ПО может регистрировать нажатия клавиш и красть пароли, в то время как слабые пароли можно взломать методом подбора».

Он продолжает: «Но на практике, похоже, планка поднялась достаточно высоко, чтобы выиграть время для разработки более мощных технологий, таких как Trezor».

Трезор

это аппаратное устройство, предназначенное для хранения главного ключа для доступа к вашему Bitcoin кошельку, который никогда не разглашает никаких секретов хост-машине. Хирн надеется, что этот продукт или его преемники в будущем превратятся в более общие инструменты безопасности.

«Защищенный дисплей, процессор и кнопки в портативном исполнении — это именно то, что нужно для решения многих сложных проблем безопасности».

Камински также согласен, что аппаратная валюта, создаваемая для защиты пользователей Bitcoin , будет полезна для решения других проблем безопасности: «Я не могу ничего порекомендовать напрямую, но я ожидаю, что ситуация изменится через несколько месяцев», — говорит он.

Двухфакторная аутентификация

Аппаратное обеспечение использовалось для защиты и раньше, конечно. Двухфакторная аутентификация (что-то, что вы знаете, плюс что-то, что у вас есть) является основой традиционной безопасности.

Биометрия (то, чем вы являетесь) также использовалась для аутентификации людей, предоставляя им доступ к привилегированным ресурсам. Но оба эти способа теперь чреваты проблемами, обе связаны с АНБ.

Недавно появились отчеты

что устройства Apple на базе iOS подвергаются атакам со стороны Агентства национальной безопасности США (АНБ), которое разработало вредоносное ПО, которое может быть внедрено на ONE из устройств компании и использовано для доступа к ее внутренним механизмам.

Пока T ясно, позволит ли это злоумышленнику получить доступ к биометрической информации об отпечатках пальцев на последнем iPhone, но тогда, Хакеры уже взломали этот, что делает его в значительной степени спорным.

Еще более тревожным является то, что Технологии шифрования, разработанная RSA, теперь подозреваетсяподвергнуться атаке со стороны АНБ, что поставит под угрозу огромные участки используемой в настоящее время инфраструктуры.RSA отрицает сговор, но это T сулит ничего хорошего, по крайней мере, некоторым широко используемым формам 2FA.

«2FA больше, чем RSA», — возражает Камински, добавляя:

«Вы могли бы также спросить, закончилась ли безопасность, потому что теперь мы знаем, что ONE охранная компания могла знать, а могла и не знать (мы понятия не имеем), что ее использовали таким образом».

Это правда, но возникает вопрос: если RSA был взломан, к кому еще АНБ также получало доступ? И кому мы можем доверять защиту 2FA?

«Существует несколько предложений по 2FA, многие из которых имеют открытый исходный код (например, GoogleАутентификатор) и поэтому менее вероятно, что он скрывает бэкдор», — говорит Серхио Лернер, эксперт по безопасности и частый участник усилий по обеспечению безопасности биткоина. Программное обеспечение внутри Trezor также имеет открытый исходный код.

«А если вы боитесь, что 2FA недостаточно, то вы можете использовать 3FA (токен, приложение OTP для смартфона и пароль)!» — говорит он. Эта многоканальная внеполосная аутентификация является функциейБезопасный кошелек BitGo.

Кошки-мышки

Безопасность — это никогда не игра с нулевой суммой. Это постоянная игра в кошки-мышки между теми, кто пытается защитить системы, и теми, кто пытается их сломать.

Существуют альтернативы паролям, которые могут работать, но прозрачность дизайна — это ключ. И пароли вряд ли исчезнут, а это значит, что нам придется найти способ попытаться использовать их должным образом.

У Шнайера есть несколько хороших советов. «Когда я был мальчиком, я ВСЕГДА хотел стать пилотом авиакомпании. T лучший выбор, но вы можете создать пароль, который вряд ли встретится в какой-либо таблице, взяв первые буквы слов, при условии, что программное обеспечение или онлайн-приложение поддерживает создаваемый им формат.

«WИваб,IAw2ba@p”должно KEEP их в дураках, по крайней мере, еще немного (T используйте это сейчас — выберите свое собственное), но его все равно легко вспомнить, если вы знаете фразу, от которой оно произошло.

Если вы храните на Bitcoin адресе достаточно денег, и вам будет больно их потерять, а двухфакторная аутентификация с открытым исходным кодом T , то такие меры предосторожности кажутся оправданными, не T ли ?

Изображение замкачерез Shutterstock