• 注册
  • 墨客科普 墨客科普 关注:34 内容:79

    【白墨子安全实验室】钱包安全及数字资产保护

  • 查看作者
  • 打赏作者
    • 墨客科普
    • 大版主
      墨客战士

      保存好私钥


      使用区块链钱包,安全方面要做的,第一步是保存好私钥。常见的不安全的私钥备份方法:


      1、有的用户把私钥存在自己邮箱里。邮箱并不是一个安全的存储场所,邮箱被攻破是很常见的事。因此,我们不但不建议用户把私钥存储在邮箱里,而且其他类似的敏感信息也不要存在邮箱中。


      2、有的用户把私钥通过QQ等发到手机上,或者用手机对屏幕拍照来备份手机作为常用的移动终端,每天随身携带,丢失的概率不小,而且也容易被同事、朋友,甚至陌生人偷窥。同时,很多手机有云同步功能,会自动将手机中的很多信息上传到云端,这样就大大增加了信息泄漏的可能性。鉴于私钥的敏感性,不建议将私钥存储在手机上。


      2、有的用户把私钥存储在自己的云笔记上。云笔记是一个比邮箱更不安全的存储方式,用以记录一些日常琐事也就罢了,如果用来记录私钥等敏感信息,那就非常危险了。白墨子安全实验室曾经对某款市场占有率名列前茅的云笔记app进行安全测试,发现不仅用户名,连密码都是明文传输的,以这种安全防护水平,怎么能放心地把私钥交给它?!


      白墨子安全建议:


      最安全的私钥备份方法,还是以纸笔方式记录。纸笔记录方式的主要问题,是容易出现书写错误,比如把近似字母抄错,像l和1、O和0等。


      由于原始的私钥是给计算机用的,不是给人看的,因此可读性很差。在此,我们推荐使用“助记词”的方式备份私钥,可读性良好也不容易出现书写错误。


      在纸上记录完成后,妥善保管在安全的地方,有条件的可以租用银行保险箱,没条件的可以在家里找个安全的地方妥善保存。

      黑客攻击


      黑客对用户的攻击是全方位的。如果确认要发起攻击,他会动用一切可以动用的资源,从一切可以发起攻击的角度进行切入。包括用户的邮箱、微博、微信、论坛留言、手机存储、手机号码、身份证号等等。


      黑客的攻击手段除了被动监听和数据分析之外,还可能会主动发起一些攻击,比如诱导用户打开钓鱼邮件、钓鱼网站等,攻击用户的常用邮箱、手机云盘、云笔记等。

      总之,黑客为了达到目的,会采取一切可以采取的手段,整合一切可以采集到的信息,对用户进行全方位的分析和渗透。这也是我们为什么强烈建议不要将私钥在网上存储的原因,网上的一切都存在被攻破的可能。


      网络防护的最高等级是物理隔离。对于私钥这样的敏感信息,安全性是第一位的,便利性是第二位的,还是以最原始的纸笔形式存储在网络之外比较放心。


       区块链钱包


      区块链钱包与传统意义的互联网钱包相比,各有异同。相同之处是在普通用户看来,两者都有一个“账户”的概念,转账需要输入密码确认。


      与相同之处相比,两者不同之处更多:

      区块链钱包是完全公开透明的,只要知道地址,每个人(无需知道私钥)都可以查询该账户的余额及每一笔钱的来龙去脉。而互联网钱包中,上述信息都是严格保密的,只有钱包的主人才能查询相关信息。

      区块链钱包和互联网钱包都是一个形象化的说法,两者本身都没有保存任何钱在里面。区块链钱包的钱是存储在区块链上的,钱包只是一把钥匙,里面只有用户的私钥及其保护私钥的密钥。互联网钱包的钱是存储在相关公司的服务器上的,钱包中连密码都没有存储,只提供了与服务器的访问接口,一切的操作都需要远程服务器的认证和授权。

      区块链钱包是完全匿名的,互联网钱包按照国家相关法律规定是严格实名制的,因此在认证钱包主人方面,互联网钱包有一整套完备的认证体系。简洁版的认证方式如密钥授权,短信认证等,复杂版的可以身份证件识别、人脸识别等,这使得用户如果不慎忘记密钥,也可以通过其他方式重置密码,或者挂失账户,不会因此造成财务上的损失,问题的关键是证明“你是你”。


      但对于区块链钱包来说,私钥是至高无上的,私钥就是一切。账户是匿名的,系统不提供除了私钥之外的其他认证手段,谁掌握私钥,谁就是钱包的主人。因此,对于区块链钱包来说,如果用户丢失了私钥,那么就失去了一切。


      这样就使得区块链钱包私钥的保存和备份显得无比重要,怎么强调也不为过,这是传统互联网钱包所不具有的新需求。硬件钱包的出现,就是以硬件的方式帮助用户存储私钥,同时确保私钥永不触网,最大限度地保障钱包私钥的安全。

      出于研究的需要,白墨子安全实验室曾经对一些钱包产品进行过简单的测评,发现的常见安全问题主要有以下几点:

      1、用户私钥存储过于随意,没有充分考虑私钥存储的安全问题,存在泄漏风险;

      2、用户的转账过程缺乏足够严格的验证机制,容易遭受中间人攻击;

      3、用户的身份验证机制不够强健,钱包容易被盗用。


      冷钱包是离线存储的,主要体现为两种形式,一种是专门用来存储钱包的从不联网的终端设备,一种是硬件形式设计的专用钱包。一般的使用建议是:冷钱包存储大额资产,以确保安全;热钱包存储小额资产,以便于日常使用。

      请登录之后再进行评论

      登录
    • 做任务
    • 实时动态
    • 偏好设置
    • 帖子间隔 侧栏位置: