Создать мозговой кошелек биткоин

Пароли от мозговых кошельков Bitcoin ничем не лучше обычных

Xakep #264. NFT

Результаты совместного исследования обнародовали специалисты Университетского колледжа Лондона, Международной ассоциации криптологических исследований (IACR) и компании White Ops. Эксперты изучили так называемые «мозговые кошельки» Bitcoin, призванные повысить безопасность пользователей и облегчить им жизнь. Увы, исследование принесло печальные результаты: мнемонические пароли ничем не лучше обычных.

Как правило, адрес биткоин-кошелька, это строка длиной 26-35 символов, которая играет роль ID или, если угодно, имени пользователя. Второе число, привязанное к кошельку – это секретный ключ, который уже используется для осуществления транзакций. Потеря этого ключа означает для пользователя потерю доступа к кошельку. Чаще всего, секретный ключ – это сгенерированная рендомно длинная последовательность. Запомнить все это, прямо скажем, сложно. Тут в игру и вступает техника мозгового кошелька (или кошелька-в-голове), призванная одновременно помочь пользователю запомнить свой секретный ключ, а также улучшающая безопасность: похитить ключ, хранящийся в голове жертвы, сложнее, чем обычный.

Техника мозговых кошельков предлагает придумать и запомнить осмысленную парольную фразу, которую затем, при помощи хеш-алгоритма SHA-256, нужно конвертировать в последовательность, которая и станет секретным ключом. Однако данный метод хранения информации тоже нельзя считать безопасным.

Еще прошлым летом, на конференции DEFCON 23 специалисты компании White Ops представили взломщик мозговых кошельков Brainflayer. Теперь их достижения развили сотрудники Университетского колледжа Лондона: они изучили алгоритм эллиптической кривой secp256k1 и нашли способ, позволяющий взламывать мозговые кошельки в 2,5 раза быстрее.

Исследователи пишут, что успешно взломали более 18 000 паролей и сделали вывод, что пользователи, как правило, придумывают очень простые парольные фразы, что плачевно сказывается на результате. Хуже того, было подсчитано, что используя обычный аккаунт Amazon EC2 и его мощности, потенциальные злоумышленники смогут перебирать 500 000 Bitcoin-паролей в секунду. Таким образом, проверка триллиона паролей обойдется хакерам всего в $55,86. Это невероятно дешевый способ взлома.

В отчете эксперты приводят некоторые излишне простые и глупые парольные фразы, которые использовались для мозговых кошельков:

• say hello to my little friend
• to be or not to be
• party like it’s 1999
• yohohoandabottleofrum
• dudewheresmycar
• andreas antonopoulos
• Arnold Schwarzenegger
• blablablablablablabla
• for the longest time
• captain spaulding

Источник

Brainwallet как концепция безопасного хранения биткоинов

Если вопрос сохранности ваших биткоинов не дает вам спать по ночам, возможно, пришло время подумать о более безопасном решении для их хранения. Биржи могут быть взломаны, смартфоны могут выйти из строя, а аппаратные кошельки — потеряны или украдены. Для тех, кто серьезно обеспокоен сохранностью своих монет, существует только один вариант, неприступный для всех известных способов атаки — Brainwallet.

Биткоин в голове

Биткоин считается цифровой валютой, но, в отличие от Paypal или кредитной карты, он отлично подходит и для аналогового мира. Вы не можете тратить биткоин в автономном режиме, но можете сохранить его в виде бумажного кошелька. Усовершенствуйте этот подход, убрав из него бумагу, и вы получите Brainwallet. Это единственный кошелек биткоина, который на 100% защищен от фишинга или аппаратного сбоя. Если вы умрете, кошелек умрет с вами, но на этом этапе биткоины, как и сама жизнь, больше не будут вас волновать.

Создание Brainwallet по сути заключается в запоминании фразы для доступа к кошельку. Те, кто хочет получить максимальный уровень конфиденциальности, могут также запомнить адрес кошелька. Таким образом, отсутствует бумажный или цифровой след, связывающий вас с вашими монетами.

Существует множество причин, которые говорят в пользу создания невидимого кошелька. В первую очередь – паранойя. Однако это грамотное решение и для всех, кто доверяет своей памяти больше, чем сторонним технологиям. Например, для «лиц, представляющих интерес для властей», проходящих через таможню США, Brainwallet — это единственное хранилище, которое гарантированно недоступно для любопытных агентов таможенной службы. Они могут залезть в ваш жесткий диск, но не могу проникнуть в вашу голову.

Как создать собственный Brainwallet

Чтобы создать свой собственный Brainwallet, вам нужен мозг и мнемонический генератор сидов. Electrum, Armory и Mycelium помогут вам в этом деле. Существует также Brainwallet.io, детерминированный генератор адресов биткоина. На сайте сервиса говорится:

«Храните биткоин в своей голове, запомнив кодовую фразу. В вашем браузере происходит генерация адресов, и на наш сервер не отправляется никакой информации» .

Главное, чего не стоит делать — использовать существующую фразу в качестве вашей кодовой фразы. Существуют скрипты, которые могут проверять миллионы адресов кошельков и пробовать взломать их при помощи известных фраз. Вместо них стоит полагаться на случайную последовательность слов. Чтобы убедиться в том, что последовательность слов действительно случайна, Brainwallet.io позволяет вам добавлять любые файлы в текстовое поле. Затем ваш браузер выполнит хэш SHA256 и использует контрольную сумму в качестве вашей кодовой фразы.

Как запомнить кодовую фразу

Самый простой способ гарантировать, что вы никогда не забудете свою кодовую фразу — записать ее и сохранить в очень безопасном месте. Однако если вы хотите, чтобы она правда хранилась только в вашей голове, придется все же полагаться на свой мозг. Чтобы наверняка запомнить сид, попробуйте использовать метод пространственной мнемоники, более известный как дворец памяти.

Сид, размещенный в качестве примера на странице Brainwallet в Bitcoin Wiki в переводе на русский выглядит следующим образом: «ведьма упадет отточить кусает позор открывать отчаяние бухта дорога напротив льда последнего». Чтобы запомнить подобную фразу с применением техники дворца памяти, представьте себе знакомое место, например, дом, где вы выросли и вообразите себе следующую картину.

Вы заходите в свой дом и видите ведьму, которая стоит пошатываясь в коридоре. У нее сердечный приступ и она вот-вот упадет. Пока вы собираетесь отточить свои навыки оказания первой помощи, она кусает вас в шею. И далее в том же духе.

Книга «Moonwalking with Einstein» также будет полезна тем, кто интересуется техниками запоминания. Создание Brainwallet на первый взгляд может показаться чрезмерным действием. Однако пока вы храните сид в своей памяти, это гарантирует, что хакеры и квантовые компьютеры не смогут до него добраться.

Источник

Brainflayer: Софт для кражи биткоинов из вашего мозга

Истинные фанаты биткоина с давних времен считали “brain wallet” («кошелек в мозге») идеальным способом хранения криптовалюты. Суть в том, что, запомнив какую-то сложную фразу, дающую доступ к закрытому ключу кошелька, кто угодно может хранить «в своем мозге» любые суммы в цифровой валюте без необходимости хранить какие-то пароли или другие данные на компьютерах.

Однако, как выяснилось, ваш разум – на удивление уязвимое место, чтобы держать там ключ к своим крипто-запасам. Один хакер сумел разработать софт, который, по его задумке, должен это подтвердить.

В августе на хакерской конференции DefCon эксперт по безопасности по имени Райан Кастеллуччи планирует представить программу, которую он назвал Brainflayer, разработанную, чтобы взламывать «мозговые» биткоин-кошельки, позволяя хакерам заполучать хранящиеся в них биткоины. На самом деле, мудрые биткойнеры давно знали, что «мозговые» кошельки не всегда надежны, несмотря на то, что ключ к ним прячется в глубинах сознания. По словам Кастеллуччи, его программа создана для того, чтобы наглядно продемонстрировать это владельцам биткоинов и поставить точку в этом вопросе.

«Люди по-прежнему хотят использовать «мозговые» кошельки, потому что им нравится идея того, что ключ хранится у них в голове… Они не осознают, насколько это ненадежно, и многие из них в этом убедятся», — говорит Кастеллуччи, исследователь по безопасности компании White Ops. По его словам, программа, которую он планирует опубликовать в сети к моменту его выступления на конференции, будет служить предупреждением: «Лучше храните биткоины там, где к ним нельзя будет получить доступ. Я хочу убедить всех, что это не безопасно».

«Мозговые» кошельки или Brain wallets работаю так, что выбирается фраза-пароль, которая соответствует математической функции, известной как «хэш». Итоговая последовательность произвольных чисел затем используется как закрытый ключ биткоина – длинная последовательность секретных символов, дающая доступ к запасам криптовалюты на конретном биткоин-адресе. Так как та же фраза может быть в любой момент использована для генерации закрытого ключа из хэша, пользователям нет необходимости запоминать этот ключ, запомнив только фразу. Можно даже удалить закрытый ключ с компьютера, зная, что никто, даже полиция при конфискации компьютера, не сможет получить доступ к сокровищнице, запрятанной в вашей голове.

По мнению Кастеллуччи, проблема в том, что люди выбирают не настолько надежные и произвольные фразы, как им может показаться. И любой хакер в принципе может угадать миллионы фраз, конвертируя их в закрытые ключи, пробуя их на каждом из биткоин-адресов в цепочке блоков. Он говорит, что даже если владелец биткоинов думает, что выбрал по-настоящему надежную фразу-пароль, она не всегда может устоять против ресурсов, задействованных для взлома, которыми пользуются похитители в своем стремлении заполучить доступ к деньгам. «Обычный закрытый ключ слишком длинный, чтобы его можно было как-то угадать или подобрать», — говорит Кастеллуччи, — «Но если они угадают вашу фразу-пароль, они получат доступ к кошельку, потому что, на самом деле, из людей выходит довольно скверный генератор случайных чисел».

Кастеллуччи написал софт для взлома фраз-паролей для «мозговых» кошельков, который в последствие стал Brainflayer, еще в 2013 году, когда впервые прочитал о brain wallet. Он оставил программу запущенной и сканирующей биткоин-адреса на уязвимость, и отправился на пикник на несколько часов. К тому моменту как он вернулся, она нашла кошелек, на котором было 250 биткоинов – более $66000 по сегодняшнему курсу – которые мог украсть любой, у кого был аналогичный софт. Кастеллуччи тогда связался с владельцем кошелька и убедил его переместить биткоины в более надежный кошелек. Существует множество сообщений о реальных хищениях с «мозговых» кошельков. Одной из жертв стал пользователь Reddit под ником thonbrocket. Он сообщил, что злоумышленники использовали фразу из неизвестного стихотворения на языке африкаанс как фразу-пароль, и он был просто в шоке, что они смогли ее подобрать.

Кастеллуччи не сообщает, сколько именно фраз-паролей может подобрать Brainflayer на одном компьютере, об этом он расскажет на DefCon. Но он намекнул, что, если его программу запустить на ботнете из множества зараженных компьютеров, она способна подбирать сотни миллиардов фраз-паролей в секунду. В отличие от других аналогичных программ для подбора паролей, его софт оптимизирован для того, чтобы быстро генерировать биткоин-ключи и сканировать цепочку блоков, чтобы пробовать их для различных биткоин-адресов. Он использовал метод, известный как Bloom filter, чтобы наиболее эффективно проверять цепочку блоков на совпадения. Результаты здесь, конечно, не настолько быстрые, как у АНБ, которая, по данным, опубликованным Эдвардом Сноуденом, может проверять до триллиона паролей в секунду, но, тем не менее, это все равно может удивить многих из тех, кто уверен в надежности своих фраз-паролей.

Не стоит думать, что Brainflayer сильно мощнее по сравнению с аналогичным софтом, которым могут пользоваться преступники. Но, по словам основателя компании White Ops известного исследователя в области безопасности, интересующегося биткоином, Дэна Камински, суть в этом. Brainflayer разработан, чтобы показать возможные последствия и доказать всем, что их незащищенный «мозговой» кошелек можно взломать. «Райан не первый, кто написал взломщик для brain wallet», — говорит Камински, — «Но когда он его покажет, он будет последним, кто напишет такой софт, потому что он уже будет доступен всем».

Камински таким образом хочет достучаться до биткойнеров. Несмотря на проблемы с безопасностью «мозговых» кошельков, многих из тех, кто думает, что это идеальный способ хранения своих виртуальных запасов, по-прежнему привлекает эта идея. «Люди думают, что это самый надежный способ «хранения денег под матрасом». В действительности, под вашим матрасом довольно много места. А вот в голове его не так много, как кажется».

Источник

Мозговой кошелек: криптокошелек, который всегда у вас в голове

Если вам по ночам не дает спать беспокойство о безопасности ваших криптозапасов, возможно, пора подумать о более надежном варианте хранения.

Биржи могут взломать, смартфоны часто выходят из строя, а аппаратные кошельки теряются. Для совсем уж параноиков есть только один вариант хранения. Он неуязвим для всех известных атак — мозговой кошелек (brainwallet). Он действительно такой, если разобраться.

Биткоин в мозгу

Биткоин считается цифровой валютой, а у нее есть свои особенности. Вы не можете потратить криптовалюты офлайн, как фиатные наличные деньги, но вы можете хранить их в виде бумажного кошелька (сохраняя пароль на кусочке бумаги).

Проведите эту аналогию чуть дальше, уберите бумагу, и у вас останется мозговой кошелек. Это единственный криптокошелек, который на 100% невосприимчив к фишингу или сбою оборудования.

Если вы умрете, кошелек умрет с вами, но к тому времени цифровые валюты — да и вся жизнь — уже не будут вас беспокоить.

То чувство, когда ты слишком мозговит для мозгового кошелька

Те, кто желает тотальной приватности и секретности, могут запомнить не только фразу восстановления, но и адрес кошелька. В этом случае с вашими монетами вас не будут связывать ни бумага, ни цифры.

Есть множество причин, по которым желательно создать такой вот невидимый кошелек. Главным образом — паранойя. Но также важен тот факт, что это — идеальное решение для всех, кто доверят своей памяти больше, чем сторонним технологическим решениям.

Для граждан, проходящих через таможню США, к примеру, мозговой кошелек — это хранилище, в которое гарантированно не доберутся любопытствующие сотрудники службы транспортной безопасности.

Они могут прочесать ваш жесткий диск, но не покопаться в вашей голове.

Как создать мозговой кошелек

Чтобы сделать себе такой кошелек, все что вам нужно — это мозг и генератор мнемонического seed-числа. Вам помогут кошельки Electrum, Armory и Mycelium.

Есть также Brainwallet.io, детерминированный генератор биткоин-адресов. На этом сайте объясняется: «Храните биткоин в вашем мозгу, запомнив вашу фразу-пароль. Генерация происходит исключительно в вашем браузере, и информация не отправляется на наш сервер».

Существует множество рекомендаций относительного того, чего не стоит делать при создании кошелька, однако вот этого точно делать нельзя: использовать известную фразу как свой пароль.

Люди создали скрипты, которые могут прочесать миллионы адресов кошельков и попробовать вскрыть их с помощью известных словосочетаний.

Таким образом, ваша любимая цитата из библии или строчка из песни Кети Перри (Katy Parry) отпадают сразу. Вместо этого используйте действительно хаотичное сочетание слов.

Для этого сайт Brainwallet.io позволяет вам загрузить любой файл в текстовый бокс. Браузер затем исполнит хэш-алгоритм SHA256 и использует контрольную сумму в качестве вашей фразы-пароля.

Как выглядит ваш дворец памяти?

Как запомнить вашу мнемоническую фразу-пароль

Простейший способ сделать так, что вы никогда не забудете эту фразу — это записать ее и сохранить в безопасном месте. Этот вариант подойдет, если вы планируете съездить за границу, и оставляете дома бэкап на случай, если память вас подведет.

Но если хотите играть по правилам и создать мозговой кошелек, вам придется запомнить пароль, и запомнить крепко. Для этого полезно построить дворец памяти.

Ниже приведен пример фразы-пароля на страничке о мозговых кошельках в википедии:

«Ведьма рухнет применить пить стыдно открыт отчаяние залив дорога снова лед наименьший»

Чтобы это запомнить, вам придется загадать некое знакомое место — может, из детства — и построить визуальную последовательность действий: вы открываете дверь в свой дом, и видите ведьму, которая ковыляет по коридору.

У нее сердечный приступ, и она сейчас рухнет. Пока вы готовитесь применить ваши навыки по искусственному дыханию, она вонзает зубы вам в шею и начинает пить кровь из яремной вены.

Да, дворцы памяти выглядят несколько глупо, но это и делает их столь эффективными. «Эйнштейн гуляет по Луне. Наука и искусство запоминания» — отличная книга для любого, кто интересуется подобным.

Может показаться, что создавать мозговой кошелек — это слишком, но какая разница, если это поможет вам вспомнить пароль и гарантирует защиту от хакеров.

Его стоимость гораздо ниже любого аппаратного кошелька — ровно ноль долларов. И ни цента больше.

Источник