Jeder sagt immer wieder, dass Brain Wallets unsicher sind. Kann mir jemand erklären WARUM?
Was wäre, wenn ich eine 200 Zeichen lange Brain Wallet hätte, die die Verkettung der Namen aller meiner Familienmitglieder zusammen mit Satzzeichen und Zahlen wäre? Wie ist es damit?
Und wie lange ist ein privater Schlüssel? Ich verstehe nicht, wie unsicher eine Brain Wallet sein kann, wenn Sie etwas finden, das NUR Sie wissen können.
Jemand anderes hat bereits Entropie erwähnt. Menschen sind wirklich schlecht darin, Zufälligkeiten zu erzeugen. Aber das ist nur ein Teil davon. Der andere Teil ist die Zeit und wie sie auf der Seite des Angreifers ist.
Ein Angreifer kann viele Brainwallets mit vielen verschiedenen Wörtern und Phrasen generieren. Dann beobachten sie die Blockchain, um zu sehen, ob eine dieser Adressen Coins erhält. Wenn dies der Fall ist, stürzt der Angreifer herein und stiehlt die Münzen. Was macht der Angreifer, während er wartet? Generieren Sie mehr Brainwallets! Jedes Wörterbuchwort. Jede l33tspeak-Variante jedes Wörterbuchworts. Alles kurze Sätze. Alle Phrasen in jedem Buch, überhaupt. Obskure fremdsprachige Gedichte. Bitcoin-Adressen nehmen nicht viel Speicherplatz in Anspruch, sodass der Angreifer sie alle behalten und beobachten kann. Er hat alle Zeit der Welt.
Vielleicht haben Sie Glück und finden eine Passphrase, die niemand sonst generiert hat. Aber es ist riskant. Auf der anderen Seite können Sie mit Electrum ganz einfach eine sichere und einprägsame Brieftasche generieren , die einen 128-Bit-Zufallsschlüssel in zwölf Wörter übersetzt. Es gibt auch andere mnemonische Systeme, die Sie verwenden können. Warum also riskieren, dass Ihre Münzen aus Ihrer Brainwallet gestohlen werden, wenn es so einfach ist, sie sicher aufzubewahren?
Das hat nichts mit Länge zu tun, sondern mit Entropie. Menschen sind schrecklich darin, Zufälligkeiten zu erzeugen, selbst was Ihrer Meinung nach schwer zu erraten ist, könnte aller Wahrscheinlichkeit nach mit genügend Iterationen erraten werden.
Familiennamen zum Beispiel sind leicht zu erraten, es gibt eine endliche Anzahl von ihnen und ein großer Teil der Namen stammt aus einer Sammlung von nur wenigen Hundert.
Wie hoch ist die Wahrscheinlichkeit, dass Sie sich an Namen, Rechtschreibung, Zeichensetzung und Reihenfolge erinnern? Ziemlich niedrig, vermute ich, Menschen sind auch schlecht darin, sich an solche expliziten Daten zu erinnern.
Sobald die Leute versuchen, schlau zu sein, verschiebt sich die Wahrscheinlichkeit von Diebstahl zu unwiederbringlichem Verlust. Verwenden Sie einfach die kryptografischen Schlüssel so, wie sie verwendet werden sollen, 256 Bit Entropie, die mit einem CSRNG erstellt werden.
200 Zeichen klingen mir etwas übertrieben. Wie hoch ist die Wahrscheinlichkeit eines Tippfehlers beim Versuch, Ihr Passwort einzugeben, nur um den privaten Schlüssel zu generieren?
Mein Vorschlag: Wenn Sie ein ausreichend sicheres Passwort verwenden möchten, sollten Sie zunächst sicherstellen, dass Sie nicht größtenteils tatsächliche Wörter oder Phrasen verwenden. Verwenden Sie auf jeden Fall Informationen, die nur Sie kennen und die so organisiert sind, dass nur Sie sie leicht und konsistent rekonstruieren können. Ich würde die Länge unter 100 Zeichen halten, um die Wahrscheinlichkeit hartnäckiger Tippfehler zu minimieren.
Ein zufälliger privater Schlüssel wäre immer noch mathematisch sicherer, aber die Wahrscheinlichkeit eines Verlustes kann höher sein, wenn Sie Schwierigkeiten haben, ihn zu sichern und zu schützen. Wie viele Menschen haben Bitcoin "verloren", weil sie das Passwort für ihre Brieftasche vergessen haben oder die Brieftasche deinstalliert wurde? Wie vielen Menschen wurde ihr Bitcoin gestohlen, weil Kopien der Schlüssel auf unsichere Weise oder an einem unsicheren Ort aufbewahrt wurden?
Sie müssen wirklich Ihre Risikotoleranz auf beiden Seiten finden. Möchten Sie etwas weniger kryptografisch sicheres, aber leichter wiederherstellbares (geringeres Verlustrisiko, höheres Diebstahlrisiko) oder kryptografisch sichereres und weniger leicht wiederherstellbares (höheres Verlustrisiko, geringeres Diebstahlrisiko)?
Ich persönlich neige dazu, ein Brainwallet-Passwort zu erstellen, das sicher genug ist, um meine Bitcoin für die Dauer meines Lebens (oder länger, wenn möglich) zu schützen, anstatt eine Wallet-Software zu verwenden, bei der ich die privaten Schlüssel verlieren könnte, wenn meine Festplatte ausfällt , oder wo Kopien der privaten Schlüssel leichter gestohlen werden können, weil ich sie nicht sicher genug aufbewahren konnte.
Sehr interessante Präsentation zu diesem Thema, über das Knacken von Bitcoin Brainwallets:
Brain Wallets können sicher sein, wenn Sie etwa 80 Bit Entropie erzeugen und sich merken können und sie mit einem geeigneten Schlüsselhärtungsalgorithmus wie bcrypt oder scrypt verarbeitet werden. Ein zufälliges englisches Wort hat ungefähr 12 Bit, also sind ungefähr sieben Wörter das Bärenminimum oder ungefähr 13 völlig zufällige Base64-Zeichen.
Da die meisten Leute etwas wie 'uberSecret#wallet87' wählen, das kaum 40 Bit Entropie hat, sind die meisten dieser Seeds auf einem gewöhnlichen Computer in wenigen Minuten leicht zu erraten, so dass Brain Wallets nur von Leuten verwendet werden sollten, die verstehen, was sie tun. Ein Standardschritt bei jedem Passwort-Hack besteht darin, den Chiffretext des Passworts zu erhalten – im Fall von Bitcoin, der über die Blockchain an ein globales Netzwerk von Menschen mit der Hardware und den Fähigkeiten verteilt wird, um es anzugreifen. Außerdem gibt es kein Salzen, sodass Sie wirklich mindestens 80 Bit benötigen.
Angenommen, es gibt ~2000 mögliche Namen und insgesamt 20 Familienmitglieder, die Sie so benennen könnten, hätten Sie 2000^20 ~ 2^245mögliche Kombinationen, also wäre es im Vergleich zu einem CSPRNG nicht schrecklich. Und ja, wenn Sie auf eine Kombination von Zeichen stoßen, die kein anderer Mensch für plausibel hält, wäre das sicher. Da wir darauf eingestellt sind, Sequenzen zu produzieren, mit denen sich andere identifizieren können, stehen die Chancen dafür jedoch nicht so gut, wie Sie denken.
Der größte Fehler ist, dass Sie öffentliche Informationen verwenden würden. Bei einem Geburtenregister könnte man mit dem Familiennamenschema recht schnell alle möglichen Passwörter generieren. Es gibt nur n_populationKombinationen, was nichts für einen Passwortknacker ist. Sie stoßen auf ein ähnliches Problem, wenn Sie sich entscheiden, ein Gedicht, den SHA256 des PNG Ihres Lieblingsmemes, eine StackOverflow-Antwort oder irgendetwas anderes zu verwenden, das obskur erscheint, aber von Natur aus in der Öffentlichkeit liegt. SHA256 eines Babyfotos, das nur Sie haben? Vielleicht. Aber andererseits ist es wahrscheinlich genauso schwierig, den SHA256 selbst zu speichern, und ein CSPRNG wird Ihnen das geben.
Sie können dies auch genau einmal tun. Wenn jemand Ihr Schema findet und auf Ihrer Kombination landet, was dann? Wenn Sie danach ein paar Zeichen und Zahlen hinzufügen, um die Dinge aufzupeppen, wird ein Schlüssel erstellt, der sich aus der Perspektive eines Passwort-Crackers nicht allzu sehr unterscheidet, da Sie dann effektiv ein Passwort von vielleicht 8 Zeichen verwenden, sobald jemand Ihr ursprüngliches kennt . Sicher, Sie könnten hier wild werden, aber Sie betreten ein Gebiet, in dem Sie genauso gut einfach ein CSPRNG verwenden können, da es genauso schwer ist, sich daran zu erinnern. Es ist nicht unmöglich, dass dies mit einem CSPRNG passieren könnte, aber alles, was Sie dann tun, ist, es hochzudrehen und die nächste Kombination zu verwenden, die es gibt.
Es geht wirklich nur ums Risiko. Wenn Sie und Ihre Freunde beschließen, den Poker-Pot in eine Brieftasche zu stecken, die durch den SHA256 eines Bildes der am Tisch sitzenden Party gesichert ist? Vielleicht reicht das, wenn das Portemonnaie nur für die Nacht genutzt wird. Aber wenn Sie etwas längerfristig mit einem größeren Geldbetrag tun wollen, dann sage ich, folgen Sie den Empfehlungen von Leuten, die dieses Problem nur aus der Sicherheitsperspektive untersucht haben.
Murch