区块链技术资源分享
追寻中本聪先生的脚步

区块链钱包的安全_如何选择区块链钱包?冷钱包的优势在哪里?白墨子安全实验室

2018年8月初,白墨子安全实验室宣布加入SWTC公链生态节点计划,组建“白墨子安全节点”,旨在以专注、专业的精神守护SWTC公链安全,为公链生态的健康发展保驾护航。

近期,白墨子团队接受了大萌资讯的独家邀请,将为大家带来全面、深度的区块链安全知识系列科普。

白墨子安全实验室

从黑客的角度来分析,对区块链钱包常用的攻击手段有哪些?

使用区块链钱包,安全方面要做的,第一步是保存好私钥,这个容易理解。那么在接下来的使用过程中,哪些潜在风险是用户经常会遇到或容易忽视的?

“把私钥保存好”,这个说起来简单,但现实中如何真正的把私钥存储好,这方面其实有很多讲究,如果不注意也容易出问题。

常见的不安全的私钥备份方法如下:

有的用户把私钥存在自己邮箱里。

邮箱并不是一个安全的存储场所,邮箱被攻破是很常见的事。因此,我们不但不建议用户把私钥存储在邮箱里,而且其他类似的敏感信息也不要存在邮箱中。

有的用户把私钥通过QQ等发到手机上,或者用手机对屏幕拍照来备份。

手机作为常用的移动终端,每天随身携带,丢失的概率不小,而且也容易被同事、朋友,甚至陌生人偷窥。同时,很多手机有云同步功能,会自动将手机中的很多信息上传到云端,这样就大大增加了信息泄漏的可能性。

鉴于私钥的敏感性,不建议将私钥存储在手机上。

有的用户把私钥存储在自己的云笔记上。

云笔记是一个比邮箱更不安全的存储方式,用以记录一些日常琐事也就罢了,如果用来记录私钥等敏感信息,那就非常危险了。

白墨子安全实验室曾经对某款市场占有率名列前茅的云笔记app进行安全测试,发现不仅用户名,连密码都是明文传输的,以这种安全防护水平,怎么能放心地把私钥交给它?!

白墨子安全建议

最安全的私钥备份方法,还是以纸笔方式记录。纸笔记录方式的主要问题,是容易出现书写错误,比如把近似字母抄错,像l和1,O和0等。

由于原始的私钥是给计算机用的,不是给人看的,因此可读性很差。在此,我们推荐使用“助记词”的方式备份私钥,可读性良好,也不容易出现书写错误。

在纸上记录完成后,妥善保管在安全的地方,有条件的可以租用银行保险箱,没条件的可以在家里找个安全的地方妥善保存。

黑客攻击

黑客对用户的攻击是全方位的。如果确认要发起攻击,他会动用一切可以动用的资源,从一切可以发起攻击的角度进行切入。包括用户的邮箱、微博、微信、论坛留言、手机存储、手机号码、身份证号等等。

黑客的攻击手段除了被动监听和数据分析之外,还可能会主动发起一些攻击,比如诱导用户打开钓鱼邮件、钓鱼网站等,攻击用户的常用邮箱、手机云盘、云笔记等。

总之,黑客为了达到目的,会采取一切可以采取的手段,整合一切可以采集到的信息,对用户进行全方位的分析和渗透。这也是我们为什么强烈建议不要将私钥在网上存储的原因,网上的一切都存在被攻破的可能。

网络防护的最高等级是物理隔离。

对于私钥这样的敏感信息,安全性是第一位的,便利性是第二位的,还是以最原始的纸笔形式存储在网络之外比较放心。

区块链钱包的安全

区块链钱包对比传统意义上的互联网钱包,例如支付宝、微信等等,安全管理方面有哪些异同点?对区块链钱包的安全,进化出哪些新的要求或需求?这些区块链钱包的开发团队中,安全团队的建设是否得到了足够重视?

区块链钱包与传统意义的互联网钱包相比,各有异同。相同之处是在普通用户看来,两者都有一个“账户”的概念,转账需要输入密码确认。

与相同之处相比,两者不同之处更多:

区块链钱包是完全公开透明的,只要知道地址,每个人(无需知道私钥)都可以查询该账户的余额及每一笔钱的来龙去脉。而互联网钱包中,上述信息都是严格保密的,只有钱包的主人才能查询相关信息。

区块链钱包和互联网钱包都是一个形象化的说法,两者本身都没有保存任何钱在里面。区块链钱包的钱是存储在区块链上的,钱包只是一把钥匙,里面只有用户的私钥及其保护私钥的密钥。互联网钱包的钱是存储在相关公司的服务器上的,钱包中连密码都没有存储,只提供了与服务器的访问接口,一切的操作都需要远程服务器的认证和授权。

区块链钱包是完全匿名的,互联网钱包按照国家相关法律规定是严格实名制的,因此在认证钱包主人方面,互联网钱包有一整套完备的认证体系。简洁版的认证方式如密钥授权,短信认证等,复杂版的可以身份证件识别、人脸识别等,这使得用户如果不慎忘记密钥,也可以通过其他方式重置密码,或者挂失账户,不会因此造成财务上的损失,问题的关键是证明“你是你”。

但对于区块链钱包来说,私钥是至高无上的,私钥就是一切。账户是匿名的,系统不提供除了私钥之外的其他认证手段,谁掌握私钥,谁就是钱包的主人。因此,对于区块链钱包来说,如果用户丢失了私钥,那么就失去了一切。

这样就使得区块链钱包私钥的保存和备份显得无比重要,怎么强调也不为过,这是传统互联网钱包所不具有的新需求。硬件钱包的出现,就是以硬件的方式帮助用户存储私钥,同时确保私钥永不触网,最大限度地保障钱包私钥的安全。

作为用户与区块链的最常用的接口,区块链钱包的研发目前是一个热点,钱包作为保护用户数字资产的第一道防线,在安全性上的重要性是谁也不敢轻视的。现有的钱包林林总总不下百种。这些钱包的开发团队来源比较杂,白墨子实验室并没有对所有钱包进行过安全测评,但根据平时接触的一些常用钱包而言,他们在安全问题方面都有一定的投入,具有一定的安全水准。

大体上来说,如果是安全人员出身的团队开发的区块链钱包,在安全性上会有更多的考虑和设计,从而也有更好的安全性。因为安全的钱包是设计出来的,而不是后来通过打补丁修改出来的。

如何选择区块链钱包?

目前市面上的区块链钱包种类繁多,对于小白用户来说,如何摆脱被动选择的局面?主动选择需要关注哪些问题?对于可能的问题钱包,有没有简单的识别方法?

首先,我们认为钱包的安全性是压倒一切的,一个不安全的钱包将会把你的资产置于风险之中,有不如无。

然而,在钱包的选择方面目前还没有有效的“石蕊试纸”(原指检验溶液酸碱性的一种常用试纸,此处比喻为安全检测方法)。我们建议在选择钱包的时候,大体把握几个原则:口碑,团队和历史。

口碑

大家对该钱包的评价如何,好中差评都要看,根据别人的评价对该钱包有一个直观的认识。

团队

钱包团队是否有安全背景,是否有专门的安全技术人员,是否经过权威机构的安全测评?

历史

该钱包历史上是否发生过安全事件?造成的损失如何?团队是如何应对的?善后情况如何?

以上几点只是为了尽可能快速、简单地对钱包做出一个大致靠谱的评价,真正全面、深入的判定还是应当通过对钱包进行专业的测评才行。

白墨子安全实验室已经意识到数字币用户在这一方面的迷茫和迫切需求,目前正在对市场上常见的钱包进行安全测评,希望尽快有一个比较完善、全面的测评报告提供给大家,敬请期待。

有没有钱包出现安全问题的实例可供分享?

咱们井系的几款钱包,有没有遇到过类似的问题或隐患?

出于研究的需要,白墨子安全实验室曾经对一些钱包产品进行过简单的测评,发现的常见安全问题主要有以下几点:

  1. 用户私钥存储过于随意,没有充分考虑私钥存储的安全问题,存在泄漏风险;
  2. 用户的转账过程缺乏足够严格的验证机制,容易遭受中间人攻击;
  3. 用户的身份验证机制不够强健,钱包容易被盗用。

TokenPocket钱包(以下简称“TP钱包”)是一款可以同时存储MOACSWTC的综合性钱包,发布之后受到广泛的好评。白墨子安全实验室全程参与了该钱包的安全方案设计。

在TP钱包的设计之初,也同样出现过上述问题。此外还涉及远程通信的身份验证、数据加密等多种需求,为此我们针对钱包经常面临的应用场景和安全需求,进行了专门的安全加固措施,基本解决了TP钱包的主要安全风险点,使得该钱包的安全等级得到较大的提升。

钱包发布之后也进行了多次安全测评,针对一些问题提出了整改措施。整体而言,我们的主要精力还是放在安全设计阶段,主要原因如前所述:“好的钱包是设计出来的,不是修改出来的”。

冷钱包的优势在哪里?

冷钱包的概念,市场上有一定的普及,但是真正使用的比例貌似不高,是什么原因导致了这种局面?相比热钱包,冷钱包的优势在哪里?白墨子对冷钱包的安全有哪些研究?未来有哪些规划?

冷钱包是离线存储的,主要体现为两种形式,一种是专门用来存储钱包的从不联网的终端设备,一种是硬件形式设计的专用钱包。普及率不高我们认为主要有以下几方面原因:

成本偏高

如果使用一个设备专门为了存储钱包,那么这个设备以后就再也不能联网了,基本上是专机专用,不是每个人都有这样的闲置设备承担此类任务;如果是购买专门的硬件钱包,那么成本也不便宜,普遍在几百元到几千元。成本问题绝对是阻碍冷钱包普及的重要因素之一。

学习门槛高

跟热钱包相比,冷钱包的使用更加复杂,对于普通人而言比较难以理解,也难以接受。

使用不便

热钱包的使用便利性是冷钱包没法比的,因为冷钱包主打安全,因此便利性自然就屈居其次,对于普通用户而言,如果使用冷钱包进行转账,感觉会比较费时费力。

其实,冷钱包和热钱包本来就不是对立的两面,而是互补的两方。一般的使用建议是:冷钱包存储大额资产,以确保安全;热钱包存储小额资产,以便于日常使用。

白墨子安全实验室也在积极研究冷钱包技术,力图实现确保安全性的前提下,尽可能便于使用。在不远的将来,白墨子将推出自己的冷钱包产品,欢迎大家使用。目前正在进行产品的基本设计和原型开发。

分享到:更多 ()
靠谱免费最好的手机挖矿app推广 炒币圈交易所注册链接 手机挖矿微信群联系方式

来评论吐槽 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

快手号:神吐槽shentucao

交易所地址更多手机免费挖矿APP