Sløseri med Bitcoin sikkerhed har kostet næsten 690.000 kroner

Henover en periode på seks år er op imod 900 Bitcoin-konti blevet hacket og tømt for tusindvis af kroner.

En gennemgang af seks års Bitcoin transaktioner afslører, at næsten 900 konti er blevet hacket for et samlet beløb på godt 103.000 dollars.

Tyverierne har været mulige, fordi ejerne af Bitcoin-kontiene har stolet på, at et simpelt og huske venligt kodeord til deres konti har været sikkert nok, skriver Ars Technica.

I stedet for at bruge en 64 bit krypteringsnøgle, som der normalt kræves for at hæve penge, har kontoindehaverne valgt at lade et simpelt kodeord generere deres private krypteringsnøgle.

På den måde er ejerne sluppet for at skulle nedskrive og gemme på den 64 tegn lange krypteringsnøgle.

Metoden har fået navnet "brain wallets" og symboliserer tanken om, at ejeren gemmer sin Bitcoin-konto i hovedet og på den måde altid har adgang til sine Bitcoins.

Brain wallets er i årevis blev fremhævet som en sikrere og mere brugervenlig måde at arbejde med digital valuta på, selvom Bitcoin eksperter som Gregory Maxwell og Gavin Andresen, længe har frarådet brugen af modellen.

Afsløret på hacker konvention

På den seneste Defcon hacker konvention fik eksperterne dog bevis for deres bekymringer, da sikkerhedsfirmaet White Ops beviste, hvor nemt det var for hackere at bryde ind i hjerne-tegnebøgerne.

Fordi brain wallet ikke bruger kryptografisk salt og derfor lader kodeord i almindelige tekst passerer gennem en enkelt hash iteration (i dette tilfælde SHA256 funktion), er det muligt for hackere at knække kodeord til mange konti på en gang.

Samtidig gemmer brain wallet metoden en kopi af de usikre kodeord i sin blockchain, hvilket giver en hacker adgang til alt det materiale, han behøver, for at kompromittere kontoen.

I mange tilfælde er de sårbare konti blevet drænet inden for få minutter eller sekunder efter at de er blevet åbnet, viser gennemgangen.

Kommentarer (5)

Henning Wangerin

Siden hvornår er det noget nyt?

Ligefrem at kalde de pågældende wallet for hacket er vist også i overkanten.

Hvis jeg fortætter noget at koden til min tænkte digitale dørlås er 1234, er den så hacket hvis en eller anden gætter at 1234 vil åbne min dør?

Det er jo reelt det man gør med brainwallets. Hverken mere eller mindre.

Bent Jensen

Der menes vel kun ?

Det er vel ikke meget når man tænker på omsætningen, og i forhold til svindel med kort. Man skal jo passe på sine kontanter, og det ser det ud til at de fleste gør.

Jeppe Sanggaard

"Brain wallets er i årevis blev fremhævet som en sikrere og mere brugervenlig måde at arbejde med digital valuta på" - det er der vel ingen med blot en smule forståelse for netværket og systemet, som har postuleret?

Brain wallets plejer at blive brugt som eksempel på, at du i teorien kan gemme hele din formue i hovedet, uden at andre aner noget om det. Derved kan du krydse fysiske grænser og stadig have adgang til dine værdier, bare du er tilsluttet nettet. Men der er ingen med blot en anelse forstand, der har sagt, at brain wallets er "sikrere"...

Bo Zachariasen

Dette fra artiklen mener jeg ikke er korrekt:

"Samtidig gemmer brain wallet metoden en kopi af de usikre kodeord i sin blockchain, hvilket giver en hacker adgang til alt det materiale, han behøver, for at kompromittere kontoen."

Jeg mener ikke at brain wallet metoden gemme en kopi af kodeordret i blockchain. Det ville være tæmmelig uklogt.

Metoden omsætter kodeordret til den private nøgle - hvorfra den offentlige nøgle kan genereret og dermed bitcoin adressen.

Desuden er der den detalje at den simple metode hvor SHA256 anvendes til at omsætte kodeordret til bitcoin adressen længe har været kritiseret for at muliggøre mange milliarder af forsøg i sekundet. SHA256 funktionen er ressourcelet. Det er denne metode der anvendes på www.bitaddress.org når en brain wallet bitcoin adresse generere. Derfor er WarpWallet opfunde

https://keybase.io/warp/warp_1.0.7_SHA256_9c64ee9978b93c47e020593bc43f7a...

WarpWallets metode tager godt 15 sekunder at generere en brain wallet. Det er mange tusinde gange længere en den simple SHA256 metode. På den måde besværliggøres tyveriet hvor brutal force anvendes fordi der ikke kan foretages ret mange gæt i døgnet.

Hanne Kristensen

Det lyder som en helt almindelig svagt password problematik. Det mest sikre er en hybrid med et sikkert password noteret på et stykke papir i kombination med en husket kode. Den huskede kode må ikke være forbundet f.eks. med navnet på et billede i ens stjålne fysiske tegnebog, hvor det sikre password opbevares på et stykke papir. Måske bliver papiret overflødigt med tiden.

Log ind eller opret en konto for at skrive kommentarer

JobfinderJob i it-branchen