As senhas são robustas o suficiente para proteger seus Bitcoins?

Nesta era de hacks e escândalos, as senhas são realmente capazes de proteger seus bitcoins?

Cada endereço de Bitcoin tem uma chave privada correspondente, que permite ao proprietário gastar os bitcoins nele, mas essa chave privada também precisa ser protegida.

A chave privada para seu endereço público de Bitcoin é crucial, porque sem ela, você perca o acesso às suas moedas. Você T consegue KEEP essa chave na cabeça, porque ela é uma longa sequência de caracteres alfanuméricos incompreensíveis, o que é pouco prático de memorizar.

Algumas pessoas protegem seus bitcoins armazenando-os emcarteiras de papel, incorporando-os em um código QR impresso que pode ser escaneado quando necessário. Essa é uma boa opção, mas deixa a chave privada fisicamente vulnerável a roubo, incêndio ou café.

Outra opção é usar senhas criptografadas, um recurso que algumas carteiras de Bitcoin incluem. As senhas também podem ser usadas para proteger outros ativos importantes relacionados ao bitcoin, como contas em uma exchange. No entanto, o problema aqui é que as senhas também T são tão seguras: elas geralmente são muito mais fáceis de quebrar do que você esperaria.

Informações memoráveis

O software de quebra de senhas usa ataques de dicionário para acessar senhas por força bruta, tentando milhões de combinações de palavras conhecidas. Portanto, é ingênuo usar “senha”, “12345” ou o nome do seu cachorro como senha – alguém, em algum lugar, provavelmente terá isso em uma lista, a menos que seu cachorro se chame “8%tRuiy0P” em vez de “Buffy”.

Esse Artigo da Ars Technicaexplica como crackers de senhas relativamente incompetentes podem usar dicionários para tentar juntar as senhas dos usuários.

Mas espere – sua bolsa online ou carteira web criptografa sua senha, então você já está protegido, certo?

T tenha tanta certeza. Muitos aplicativos que armazenam uma senha usarão o que é conhecido como função de hash, passando a senha por um cálculo matemático para produzir uma sequência de caracteres conhecida como hash. O software então armazena esse hash.

[post-citação]

Sempre que alguém tenta obter acesso a algo digitando uma senha (por exemplo, uma chave privada de Bitcoin ou uma conta em uma bolsa), o software executa a senha pela mesma função de hash e, então, compara a sequência produzida com a sequência que foi armazenada originalmente.

Nenhuma senha produziria o mesmo hash – então, teoricamente, apenas pessoas com acesso à senha poderiam produzir uma correspondência.

No entanto, como uma senha específica sempre produzirá o mesmo hash, os crackers de senha podem simplesmente fazer o hash de todas as palavras em seus dicionários, para produzir o que é conhecido como uma tabela arco-íris.

Essa é uma coleção de milhões de hashes, com referências cruzadas às senhas que os produziram. É assim que ladrões de senhas como aqueles queroubou a lista de hashes do LinkedInpoderia decodificar as senhas. Existem técnicas, como salting de senha e uso de senhas mais longas, que podem tornar esse processo de pesquisa muito mais difícil, mas ainda é útil para crackers de senha.

Até mesmo as senhas ou frases-senha aparentemente inteligentes que você usa para proteger sua carteira de Bitcoin podem ser vulneráveis ​​a ataques. Aquela ideia de usar letras aleatórias ou substituir o número '1' por um 'l' ou um 'i'? Esqueça. O software tem regras para testar isso.

Algumas pessoas mais experientes usarão duas ou três palavras encadeadas, talvez com um número ou uma letra perdida. “Azangadobadger1125” parece uma ótima senha, não é ? “Quando eu era menino eu sempre quis ser astronauta” soa ainda melhor. Mas essas senhas T são invencíveis.

Potência e eficiência

O problema, comodelineadopor Joseph Bonneau, da Universidade de Cambridge, ecitadopelo guru da segurança Bruce Schneier, é que a quebra de senhas hoje em dia é uma função de duas coisas: poder e eficiência.

O primeiro significa aplicar poder computacional em algo (trabalhar mais), enquanto o segundo envolve usar modelos de correspondência de palavras mais sofisticados (trabalhar de forma mais inteligente).

Algumas pessoas até têmsites mineradospara tentar encontrar palavras e senhas relacionadas a interesses especiais que podem ser adicionadas a listas e usadas para aumentar esses enormes dicionários.

“As senhas são a democracia das tecnologias de autenticação – são a pior coisa disponível, exceto por todo o resto”, diz Dan Kaminsky, um pesquisador de segurançamais famoso por encontraro que equivalia a uma vulnerabilidade de dia zero para toda a web na forma de uma vulnerabilidade de DNS em 2008.

Então, se você pensou que sua senha estava no caminho de sua chave privada e de um exército de bandidos online, pense novamente. Mas o ponto é que eles provavelmente desencorajam pessoas o suficiente para ainda fazerem com que valham a pena.

“A realidade é que as senhas têm grande probabilidade de realmente funcionar em campo, e é por isso que somos viciados nelas”, diz Kaminsky.

Mike ouvir

, um dos CORE desenvolvedores do bitcoin, concorda. Ele dá um exemplo de malware de roubo de carteira que estava circulando há algum tempo.

“Adicionar criptografia de carteira baseada em senha pôs fim a isso – mesmo que, em teoria, T devesse funcionar muito bem. Malware bem elaborado pode registrar suas teclas digitadas e roubar a senha, enquanto senhas fracas podem ser forçadas brutamente.”

Ele continua: “Mas na prática, parece ter elevado o nível o suficiente para ganhar tempo para o desenvolvimento de técnicas mais fortes, como o Trezor.”

Trezor

é um dispositivo de hardware projetado para armazenar uma chave mestra para acessar sua carteira de Bitcoin , que nunca divulga nenhum segredo para a máquina host. Hearn espera que este produto, ou sucessores dele, evoluam para ferramentas de segurança mais gerais no futuro.

“Um display seguro, CPU e botões em formato portátil são exatamente o que é necessário para resolver muitos problemas de segurança complicados.”

Kaminsky também concorda que a moeda de hardware que está sendo construída para proteger usuários de Bitcoin será útil para outros problemas de segurança: “Não tenho nada que possa recomendar diretamente, mas espero que isso mude em alguns meses”, ele diz.

Autenticação de dois fatores

Hardware já foi usado para proteção antes, é claro. Autenticação de dois fatores (algo que você sabe, mais algo que você tem) é um pilar da segurança convencional.

Biometria (algo que você é) também tem sido usada para autenticar pessoas, concedendo a elas acesso a recursos privilegiados. Mas ambos agora estão cheios de problemas, ambos relacionados à NSA.

Relatórios surgiram recentemente

que os dispositivos iOS da Apple estão sujeitos a ataques da NSA, que desenvolveu um malware que pode ser implantado em um dos dispositivos da empresa e usado para acessar seu funcionamento interno.

Ainda T está claro se isso permitiria que um invasor acessasse as informações biométricas de impressão digital no iPhone mais recente, mas então, os hackers já comprometeram isso, tornando-o amplamente discutível.

O que é mais preocupante é que a Tecnologia de criptografia desenvolvida pela RSA agora é suspeitoser acessado pelos fundos pela NSA, colocando em risco grandes áreas da infraestrutura atualmente utilizada.RSA nega conluio, mas isso T é um bom presságio para pelo menos algumas formas comumente usadas de 2FA.

“2FA é maior que RSA”, protesta Kaminsky, acrescentando:

“Você também pode estar se perguntando se a segurança acabou, porque agora sabemos que uma empresa de segurança pode ou não ter conhecimento (não temos ideia) de que estava sendo usada dessa maneira.”

Isso é verdade, mas levanta a questão: se o RSA foi acessado por backdoor, quem mais a NSA também estava acessando? E em quem podemos confiar com proteção 2FA?

“Existem várias propostas para 2FA, muitas delas de código aberto (como o do GoogleAutenticador) e, portanto, menos provável que esteja escondendo um backdoor”, diz Sergio Lerner, especialista em segurança e colaborador frequente dos esforços de segurança do bitcoin. O software dentro do Trezor também é de código aberto.

“E se você teme que 2FA não seja suficiente, então você pode usar 3FA (um token, um aplicativo de smartphone OTP e uma senha)!” ele diz. Essa autenticação multicanal e fora de banda é um recurso deCarteira segura da BitGo.

Gato e rato

Segurança nunca é um jogo de soma zero. É um jogo constante de gato e rato, entre aqueles que tentam proteger os sistemas e aqueles que tentam quebrá-los.

Existem alternativas para senhas que podem funcionar, mas a transparência do design é essencial. E é improvável que as senhas desapareçam, o que significa que teremos que encontrar uma maneira de tentar usá-las corretamente.

Schneier tem alguns bons conselhos aqui.Quando eu era menino, SEMPRE quis ser piloto de avião” T é uma ótima escolha, mas você pode transformá-la em uma senha que dificilmente estará em qualquer tabela, pegando as primeiras letras das palavras, desde que o software ou aplicativo online permita o formato que ele produz.

"CIwab,IAw2ba@p”deve KEEP los enganados por pelo menos um pouco mais de tempo (T use isso agora – escolha o seu próprio), mas ainda é fácil de lembrar se você souber a frase de onde veio.

Se você estiver armazenando dinheiro suficiente em um endereço de Bitcoin a ponto de ser doloroso perdê-lo, e o 2FA de código aberto T estiver disponível, tais precauções parecem valer o esforço, não é T ?

Imagem de cadeadovia Shutterstock