區塊鏈技術資源分享
追尋中本聰先生的腳步
?

區塊鏈錢包的安全_如何選擇區塊鏈錢包?冷錢包的優勢在哪里?白墨子安全實驗室

2018年8月初,白墨子安全實驗室宣布加入SWTC公鏈生態節點計劃,組建“白墨子安全節點”,旨在以專注、專業的精神守護SWTC公鏈安全,為公鏈生態的健康發展保駕護航。

近期,白墨子團隊接受了大萌資訊的獨家邀請,將為大家帶來全面、深度的區塊鏈安全知識系列科普。

白墨子安全實驗室

從黑客的角度來分析,對區塊鏈錢包常用的攻擊手段有哪些?

使用區塊鏈錢包,安全方面要做的,第一步是保存好私鑰,這個容易理解。那么在接下來的使用過程中,哪些潛在風險是用戶經常會遇到或容易忽視的?

“把私鑰保存好”,這個說起來簡單,但現實中如何真正的把私鑰存儲好,這方面其實有很多講究,如果不注意也容易出問題。

常見的不安全的私鑰備份方法如下:

有的用戶把私鑰存在自己郵箱里。

郵箱并不是一個安全的存儲場所,郵箱被攻破是很常見的事。因此,我們不但不建議用戶把私鑰存儲在郵箱里,而且其他類似的敏感信息也不要存在郵箱中。

有的用戶把私鑰通過QQ等發到手機上,或者用手機對屏幕拍照來備份。

手機作為常用的移動終端,每天隨身攜帶,丟失的概率不小,而且也容易被同事、朋友,甚至陌生人偷窺。同時,很多手機有云同步功能,會自動將手機中的很多信息上傳到云端,這樣就大大增加了信息泄漏的可能性。

鑒于私鑰的敏感性,不建議將私鑰存儲在手機上。

有的用戶把私鑰存儲在自己的云筆記上。

云筆記是一個比郵箱更不安全的存儲方式,用以記錄一些日?,嵤乱簿土T了,如果用來記錄私鑰等敏感信息,那就非常危險了。

白墨子安全實驗室曾經對某款市場占有率名列前茅的云筆記app進行安全測試,發現不僅用戶名,連密碼都是明文傳輸的,以這種安全防護水平,怎么能放心地把私鑰交給它?!

白墨子安全建議

最安全的私鑰備份方法,還是以紙筆方式記錄。紙筆記錄方式的主要問題,是容易出現書寫錯誤,比如把近似字母抄錯,像l和1,O和0等。

由于原始的私鑰是給計算機用的,不是給人看的,因此可讀性很差。在此,我們推薦使用“助記詞”的方式備份私鑰,可讀性良好,也不容易出現書寫錯誤。

在紙上記錄完成后,妥善保管在安全的地方,有條件的可以租用銀行保險箱,沒條件的可以在家里找個安全的地方妥善保存。

黑客攻擊

黑客對用戶的攻擊是全方位的。如果確認要發起攻擊,他會動用一切可以動用的資源,從一切可以發起攻擊的角度進行切入。包括用戶的郵箱、微博、微信、論壇留言、手機存儲、手機號碼、身份證號等等。

黑客的攻擊手段除了被動監聽和數據分析之外,還可能會主動發起一些攻擊,比如誘導用戶打開釣魚郵件、釣魚網站等,攻擊用戶的常用郵箱、手機云盤、云筆記等。

總之,黑客為了達到目的,會采取一切可以采取的手段,整合一切可以采集到的信息,對用戶進行全方位的分析和滲透。這也是我們為什么強烈建議不要將私鑰在網上存儲的原因,網上的一切都存在被攻破的可能。

網絡防護的最高等級是物理隔離。

對于私鑰這樣的敏感信息,安全性是第一位的,便利性是第二位的,還是以最原始的紙筆形式存儲在網絡之外比較放心。

區塊鏈錢包的安全

區塊鏈錢包對比傳統意義上的互聯網錢包,例如支付寶、微信等等,安全管理方面有哪些異同點?對區塊鏈錢包的安全,進化出哪些新的要求或需求?這些區塊鏈錢包的開發團隊中,安全團隊的建設是否得到了足夠重視?

區塊鏈錢包與傳統意義的互聯網錢包相比,各有異同。相同之處是在普通用戶看來,兩者都有一個“賬戶”的概念,轉賬需要輸入密碼確認。

與相同之處相比,兩者不同之處更多:

區塊鏈錢包是完全公開透明的,只要知道地址,每個人(無需知道私鑰)都可以查詢該賬戶的余額及每一筆錢的來龍去脈。而互聯網錢包中,上述信息都是嚴格保密的,只有錢包的主人才能查詢相關信息。

區塊鏈錢包和互聯網錢包都是一個形象化的說法,兩者本身都沒有保存任何錢在里面。區塊鏈錢包的錢是存儲在區塊鏈上的,錢包只是一把鑰匙,里面只有用戶的私鑰及其保護私鑰的密鑰?;ヂ摼W錢包的錢是存儲在相關公司的服務器上的,錢包中連密碼都沒有存儲,只提供了與服務器的訪問接口,一切的操作都需要遠程服務器的認證和授權。

區塊鏈錢包是完全匿名的,互聯網錢包按照國家相關法律規定是嚴格實名制的,因此在認證錢包主人方面,互聯網錢包有一整套完備的認證體系。簡潔版的認證方式如密鑰授權,短信認證等,復雜版的可以身份證件識別、人臉識別等,這使得用戶如果不慎忘記密鑰,也可以通過其他方式重置密碼,或者掛失賬戶,不會因此造成財務上的損失,問題的關鍵是證明“你是你”。

但對于區塊鏈錢包來說,私鑰是至高無上的,私鑰就是一切。賬戶是匿名的,系統不提供除了私鑰之外的其他認證手段,誰掌握私鑰,誰就是錢包的主人。因此,對于區塊鏈錢包來說,如果用戶丟失了私鑰,那么就失去了一切。

這樣就使得區塊鏈錢包私鑰的保存和備份顯得無比重要,怎么強調也不為過,這是傳統互聯網錢包所不具有的新需求。硬件錢包的出現,就是以硬件的方式幫助用戶存儲私鑰,同時確保私鑰永不觸網,最大限度地保障錢包私鑰的安全。

作為用戶與區塊鏈的最常用的接口,區塊鏈錢包的研發目前是一個熱點,錢包作為保護用戶數字資產的第一道防線,在安全性上的重要性是誰也不敢輕視的?,F有的錢包林林總總不下百種。這些錢包的開發團隊來源比較雜,白墨子實驗室并沒有對所有錢包進行過安全測評,但根據平時接觸的一些常用錢包而言,他們在安全問題方面都有一定的投入,具有一定的安全水準。

大體上來說,如果是安全人員出身的團隊開發的區塊鏈錢包,在安全性上會有更多的考慮和設計,從而也有更好的安全性。因為安全的錢包是設計出來的,而不是后來通過打補丁修改出來的。

如何選擇區塊鏈錢包?

目前市面上的區塊鏈錢包種類繁多,對于小白用戶來說,如何擺脫被動選擇的局面?主動選擇需要關注哪些問題?對于可能的問題錢包,有沒有簡單的識別方法?

首先,我們認為錢包的安全性是壓倒一切的,一個不安全的錢包將會把你的資產置于風險之中,有不如無。

然而,在錢包的選擇方面目前還沒有有效的“石蕊試紙”(原指檢驗溶液酸堿性的一種常用試紙,此處比喻為安全檢測方法)。我們建議在選擇錢包的時候,大體把握幾個原則:口碑,團隊和歷史。

口碑

大家對該錢包的評價如何,好中差評都要看,根據別人的評價對該錢包有一個直觀的認識。

團隊

錢包團隊是否有安全背景,是否有專門的安全技術人員,是否經過權威機構的安全測評?

歷史

該錢包歷史上是否發生過安全事件?造成的損失如何?團隊是如何應對的?善后情況如何?

以上幾點只是為了盡可能快速、簡單地對錢包做出一個大致靠譜的評價,真正全面、深入的判定還是應當通過對錢包進行專業的測評才行。

白墨子安全實驗室已經意識到數字幣用戶在這一方面的迷茫和迫切需求,目前正在對市場上常見的錢包進行安全測評,希望盡快有一個比較完善、全面的測評報告提供給大家,敬請期待。

有沒有錢包出現安全問題的實例可供分享?

咱們井系的幾款錢包,有沒有遇到過類似的問題或隱患?

出于研究的需要,白墨子安全實驗室曾經對一些錢包產品進行過簡單的測評,發現的常見安全問題主要有以下幾點:

  1. 用戶私鑰存儲過于隨意,沒有充分考慮私鑰存儲的安全問題,存在泄漏風險;
  2. 用戶的轉賬過程缺乏足夠嚴格的驗證機制,容易遭受中間人攻擊;
  3. 用戶的身份驗證機制不夠強健,錢包容易被盜用。

TokenPocket錢包(以下簡稱“TP錢包”)是一款可以同時存儲MOACSWTC的綜合性錢包,發布之后受到廣泛的好評。白墨子安全實驗室全程參與了該錢包的安全方案設計。

在TP錢包的設計之初,也同樣出現過上述問題。此外還涉及遠程通信的身份驗證、數據加密等多種需求,為此我們針對錢包經常面臨的應用場景和安全需求,進行了專門的安全加固措施,基本解決了TP錢包的主要安全風險點,使得該錢包的安全等級得到較大的提升。

錢包發布之后也進行了多次安全測評,針對一些問題提出了整改措施。整體而言,我們的主要精力還是放在安全設計階段,主要原因如前所述:“好的錢包是設計出來的,不是修改出來的”。

冷錢包的優勢在哪里?

冷錢包的概念,市場上有一定的普及,但是真正使用的比例貌似不高,是什么原因導致了這種局面?相比熱錢包,冷錢包的優勢在哪里?白墨子對冷錢包的安全有哪些研究?未來有哪些規劃?

冷錢包是離線存儲的,主要體現為兩種形式,一種是專門用來存儲錢包的從不聯網的終端設備,一種是硬件形式設計的專用錢包。普及率不高我們認為主要有以下幾方面原因:

成本偏高

如果使用一個設備專門為了存儲錢包,那么這個設備以后就再也不能聯網了,基本上是專機專用,不是每個人都有這樣的閑置設備承擔此類任務;如果是購買專門的硬件錢包,那么成本也不便宜,普遍在幾百元到幾千元。成本問題絕對是阻礙冷錢包普及的重要因素之一。

學習門檻高

跟熱錢包相比,冷錢包的使用更加復雜,對于普通人而言比較難以理解,也難以接受。

使用不便

熱錢包的使用便利性是冷錢包沒法比的,因為冷錢包主打安全,因此便利性自然就屈居其次,對于普通用戶而言,如果使用冷錢包進行轉賬,感覺會比較費時費力。

其實,冷錢包和熱錢包本來就不是對立的兩面,而是互補的兩方。一般的使用建議是:冷錢包存儲大額資產,以確保安全;熱錢包存儲小額資產,以便于日常使用。

白墨子安全實驗室也在積極研究冷錢包技術,力圖實現確保安全性的前提下,盡可能便于使用。在不遠的將來,白墨子將推出自己的冷錢包產品,歡迎大家使用。目前正在進行產品的基本設計和原型開發。

tokenpocket邀請

分享到:更多 ()
0
區塊鏈神吐槽
pi幣注冊流程教程圖解中文版

來評論吐槽 搶沙發

評論前必須登錄!

 

區塊鏈資源分享聯系我

區塊鏈資源分享聯系我首頁更多新聞
做滴滴代驾还是开滴滴那个赚钱