Sind Kennwörter in diesem Zeitalter der Hacks und Skandale wirklich in der Lage, Ihre Bitcoins zu schützen?

Jede Bitcoin-Adresse hat einen entsprechenden privaten Schlüssel, der es dem Besitzer ermöglicht, die Bitcoins darin auszugeben, aber dieser private Schlüssel muss ebenfalls geschützt werden.

Der private Schlüssel für Ihre öffentliche Bitcoin-Adresse ist entscheidend, denn ohne diesen verlieren Sie den Zugriff auf Ihre Münzen. Sie können diesen Schlüssel jedoch nicht im Kopf behalten, weil es eine lange Reihe von alphanumerischen Kauderwelsch ist, die eher unpraktisch zu merken ist.

Manche Menschen schützen ihre Bitcoins, indem sie sie in Papierhüllen speichern und in einen gedruckten QR-Code einbetten, der bei Bedarf gescannt werden kann. Das ist eine gute Option, aber der private Schlüssel ist anfällig für Diebstahl, Feuer oder Kaffee.

Eine weitere Option ist die Verwendung verschlüsselter Passwörter, eine Fähigkeit, die einige Bitcoin-Wallets enthalten. Kennwörter können auch verwendet werden, um andere wichtige Bitcoin-bezogene Ressourcen zu schützen, z. B. Konten an einer Börse. Das Problem dabei ist jedoch, dass Kennwörter auch nicht sicher sind: Sie sind oft viel einfacher zu knacken als erwartet.

Denkwürdige Informationen

Die Software für das Cracken von Passwörtern verwendet Wörterbuchangriffe, um mit Brute-Force auf Passwörter zuzugreifen, indem sie Millionen von Kombinationen bekannter Wörter ausprobiert. Daher ist es naiv, "password", "12345" oder den Namen Ihres Hundes als Ihr Passwort zu verwenden - jemand, irgendwo, wird das wahrscheinlich auf einer Liste haben, es sei denn, Ihr Hund wird zufällig "8% tRuiy0P" genannt "Buffy".

Dieser Artikel von Ars Technica führt durch, wie relativ talentlose Passwort-Cracker Wörterbücher verwenden können, um Benutzer-Passphrasen zu kombinieren.

Aber warten Sie - Ihre Online-Börse oder Web-Wallet verschlüsselt Ihr Passwort, so dass Sie bereits geschützt sind, oder?

Sei nicht so sicher. Viele Anwendungen, die ein Kennwort speichern, verwenden eine sogenannte Hash-Funktion, bei der das Kennwort durch eine mathematische Berechnung übergeben wird, um eine Zeichenkette zu erzeugen, die als Hash bezeichnet wird. Die Software speichert dann diesen Hash.

& ldquo; Passwörter sind die Demokratie der Authentifizierungstechnologien - sie sind das Schlimmste, was es gibt, außer allem anderen. & rdquo;

Wenn jemand versucht, durch Eingabe eines Passworts (etwa eines privaten Bitcoin-Schlüssels oder eines Kontos an einer Börse) auf etwas zuzugreifen, führt die Software das Passwort über die gleiche Hashing-Funktion aus und vergleicht dann die erzeugte Zeichenfolge die Zeichenfolge, die ursprünglich gespeichert wurde.

Keine zwei Passwörter würden den gleichen Hash erzeugen - theoretisch könnten also nur Personen mit Zugriff auf das Passwort eine Übereinstimmung erzeugen.

Da ein bestimmtes Passwort jedoch immer den gleichen Hashwert erzeugt, können Passwort-Cracker einfach alle Wörter in ihren Wörterbüchern hashen, um eine so genannte Rainbow-Tabelle zu erstellen.

Dies ist eine Sammlung von Millionen von Hashes, die auf die Passwörter verweisen, die sie hervorgebracht haben. So könnten Passwortdiebe wie diejenigen, die LinkedIns Hash-Liste gestohlen haben, die Passwörter entschlüsseln. Es gibt Techniken wie das Paßwort-Salzen und die Verwendung längerer Passwörter, die diesen Nachschlagevorgang erheblich erschweren können, aber für Kennwörter-Cracker immer noch nützlich sind.

Selbst die scheinbar cleveren Kennwörter oder Passphrasen, die Sie zum Schutz Ihrer Bitcoin-Wallet verwenden, können anfällig für Angriffe sein. Diese Idee, zufällige Buchstaben zu verwenden oder die Zahl "1" durch ein "l" oder ein "i" zu ersetzen? Vergiss es. Die Software hat Regeln zum Testen dagegen.

Einige schlauere Leute werden zwei oder drei Wörter aneinanderreihen, vielleicht mit einer Zahl oder einem streunenden Buchstaben. "Ein ngrybadger1125" klingt nach einem großartigen Passwort, nicht wahr? " Als ich ein Junge war wollte ich immer ein Astronaut sein " klingt noch besser. Aber diese Passwörter sind nicht unbesiegbar.

Leistung und Effizienz

Das Problem, das von Joseph Bonneau an der University of Cambridge skizziert und vom Sicherheitsguru Bruce Schneier zitiert wurde, ist, dass das Cracken von Passwörtern heute eine Funktion von zwei Dingen ist: Macht und Effizienz.

Der erste bedeutet, Rechenleistung auf etwas zu werfen (härter arbeiten), während der zweite beinhaltet komplexere Wort-Matching-Modelle (intelligenter arbeiten).

Einige Leute haben sogar Websites erschlossen, um nach interessanten interessanten Wörtern und Passphrasen zu suchen, die zu Listen hinzugefügt werden können, und um diese riesigen Wörterbücher zu ergänzen.

"Passwörter sind die Demokratie der Authentifizierungstechnologien - sie sind das Schlimmste, was es gibt, außer für alles andere", sagt Dan Kaminsky, ein Sicherheitsforscher, der am berühmtesten dafür ist, eine Zero-Day-Schwachstelle für das gesamte Web zu finden die Form einer DNS-Schwachstelle im Jahr 2008.

Also, wenn Sie dachten, Ihr Passwort stünde Ihrem privaten Schlüssel und einer Armee von Online-Betrügern im Weg, denken Sie noch einmal darüber nach. Aber der Punkt ist, dass sie wahrscheinlich genug Leute abschrecken werden, um sie trotzdem lohnend zu machen.

"Die Realität ist, dass Passwörter mit hoher Wahrscheinlichkeit in der Praxis funktionieren, weshalb wir süchtig danach sind", sagt Kaminsky.

Mike Hearn, einer der Kernentwickler von Bitcoin, stimmt dem zu. Er gibt ein Beispiel für Wallet-Stealing-Malware, die vor einiger Zeit kursierte.

"Das Hinzufügen einer passwortbasierten Wallet-Verschlüsselung hält dem ein Ende - auch wenn das theoretisch nicht gut funktionieren sollte. Gut gestaltete Malware kann Ihre Tastaturanschläge protokollieren und das Kennwort stehlen, während schwache Kennwörter rohe Gewalt erzwingen können. "

Er fährt fort:" Aber in der Praxis scheint es die Messlatte höher gelegt zu haben, um Zeit für die Entwicklung von stärkeren Techniken, wie dem Trezor, zu gewinnen. "

Trezor ist ein Hardwaregerät, das zum Speichern eines Hauptschlüssels für den Zugriff auf Ihre Bitcoin-Brieftasche entwickelt wurde, der niemals Geheimnisse an den Hostcomputer weitergibt. Hearn hofft, dass sich dieses Produkt oder seine Nachfolger in Zukunft zu allgemeineren Sicherheitswerkzeugen entwickeln werden.

"Eine sichere Anzeige, CPU und Tasten in tragbarer Form sind genau das, was zur Lösung vieler kniffliger Sicherheitsprobleme benötigt wird. "

Kaminsky stimmt auch zu, dass Hardware-Währung zum Schutz von Bitcoin-Nutzern für andere Sicherheitsprobleme nützlich sein wird:" Ich habe nichts, was ich direkt empfehlen kann, aber ich erwarte, dass sich das in wenigen Monaten ändert ", sagt er.

Zwei-Faktor-Authentifizierung

Hardware wurde natürlich vorher zum Schutz verwendet. Zwei-Faktor-Authentifizierung (etwas, was Sie wissen, plus etwas, das Sie haben) ist eine Hauptstütze der konventionellen Sicherheit.

Biometrie (etwas, was Sie sind) wurde auch verwendet, um Personen zu authentifizieren und ihnen Zugriff auf privilegierte Ressourcen zu gewähren. Aber beide sind jetzt mit Problemen behaftet, die beide mit der NSA in Verbindung stehen.

Vor Kurzem wurde bekannt, dass Apples iOS-Geräte Angriffen der NSA ausgesetzt sind, die Malware entwickelt hat, die auf einem der Geräte des Unternehmens implantiert werden kann und für den Zugriff auf interne Funktionen verwendet werden kann.

Es ist noch nicht klar, ob dies einen Angreifer in die Lage versetzen würde, auf die biometrischen Fingerabdruckinformationen auf dem neuesten iPhone zuzugreifen, aber dann haben Hacker dies bereits kompromittiert, was es weitgehend unmöglich macht.

Noch beunruhigender ist, dass die von RSA entwickelte Verschlüsselungstechnologie nun von der NSA verdächtigt wird, große Teile der derzeit genutzten Infrastruktur zu gefährden. RSA bestreitet Absprachen, aber es verspricht zumindest für einige häufig verwendete Formen von 2FA nichts Gutes.

"2FA ist größer als RSA", protestiert Kaminsky und fügt hinzu:

"Sie könnten genauso gut fragen, ob die Sicherheit vorbei ist, denn jetzt wissen wir, dass eine Sicherheitsfirma sie kennt (oder nicht hat) wurden auf diese Weise benutzt. "

Das stimmt, aber es stellt sich die Frage: Wenn RSA zurückgehuldigt wurde, auf wen sonst hat die NSA auch zugegriffen? Und wem können wir den 2FA-Schutz anvertrauen?

"Es gibt mehrere Vorschläge für 2FA, von denen viele Open Source sind (z. B. Googles Authenticator) und daher weniger eine Hintertür verstecken", sagt Sergio Lerner, Sicherheitsexperte und häufiger Mitarbeiter bei Bitcoins Sicherheitsanstrengungen. Die Software in Trezor ist ebenfalls Open Source.

"Und wenn Sie befürchten, dass 2FA nicht ausreicht, können Sie 3FA (ein Token, eine OTP-Smartphone-App und ein Passwort) verwenden! " er sagt. Diese Out-of-Band-Authentifizierung mit mehreren Kanälen ist eine Funktion von BitGos sicherer Geldbörse.

Katze und Maus

Sicherheit ist niemals ein Nullsummenspiel. Es ist ein ständiges Katz-und-Maus-Spiel, zwischen denen, die versuchen, Systeme zu schützen, und denen, die versuchen, sie zu brechen.

Es gibt Alternativen zu Passwörtern, die funktionieren können, aber Designtransparenz ist der Schlüssel. Und Passwörter werden wahrscheinlich nicht verschwinden, was bedeutet, dass wir einen Weg finden müssen, um sie richtig zu benutzen.

Schneier hat hier einen guten Rat. " Als ich ein Junge war, wollte ich IMMER ein Flugpilot sein" ist keine gute Wahl, aber Sie können es zu einem Passwort machen, das wahrscheinlich in keiner Tabelle ist, indem Sie die ersten Buchstaben von die Wörter, solange die Software oder Online-App das Format erlaubt, das sie produziert.

"W Iwab, IAw2ba @ p" sollte sie mindestens ein bisschen länger täuschen lassen (benutze das jetzt nicht - wähle dein eigenes), aber es ist immer noch leicht zu erinnern, wenn du das kennst Satz, dass es kam.

Wenn Sie genug Geld in einer Bitcoin-Adresse speichern, dass es schaden würde, es zu verlieren, und Open Source 2FA nicht verfügbar ist, scheinen solche Vorkehrungen die Mühe wert zu sein, nicht wahr?

Vorhängeschloss-Bild über Shutterstock