只需发送电子邮件 就可破解半忘记的加密密码
Phil Dougherty作为一名友好的黑客有着喧嚣。白天,他是威斯康星大学的软件开发人员,建立免费的教育游戏,并对人们玩游戏的方式进行研究。与此同时,回到家中,Dougherty是一个程序的牧羊人,该程序一直在不断破坏其他人的加密货币钱包。
Dougherty与丢失,遗忘或错误记下他们的以太坊密码的人一起工作,将自己锁在钱包之外并且没收潜藏在其中的数字现金。这些人基本上是运气不好的。以太坊没有客户支持热线,没有安全问题可以解答,没有“忘记密码?”链接。
加密货币安全依赖于散列算法,这种散列算法将传统密码(例如“banana $ 123”)转换为一个唯一的数字和字母串,称为散列。为了获得具体的信息,以太坊钱包使用基于密码的密钥派生功能,这意味着用户输入他们可以(理论上)记住的唯一密码,作为回报,他们会收到一个用作唯一安全授权码的密钥。我们的想法是,不可能对哈希进行反向工程以解锁用户的基本密码,尽管多年来一些算法已被破坏,包括MD5和SHA1。然而,正如Dougherty的客户所发现的那样,以太坊的安全系统非常紧张。
“使用以太坊,因为它是分散的,你实际上是在自己的计算机上完成所有这些,甚至没有触及互联网,”Dougherty告诉Engadget。“你说,我正在创建一个带有密码'banana'的钱包,它变成了一把钥匙。由于没有公司界面,没有人可以帮助你重置密码,如果你忘了它。所以我想,解决这个问题的唯一方法是找到巧妙的方法来尝试使用相同的哈希来尝试重现复杂的输出。“
从本质上讲,你会进行网络钓鱼。在网络钓鱼攻击中,黑客试图在未经他们同意的情况下收集有关某人的信息,通常是通过受到破坏的电子邮件链接和官方形式。以太坊的安全协议在技术层面上可能是稳固的,但它们无法阻止某人通过询问所有者它是什么来诱骗密码,或者欺骗他们删除线索。
只有,Dougherty不会欺骗任何人。人们来找他并乐意回答有关他们密码习惯的个人问题。他们通常是把字母大写还是改成数字?他们是否使用他们的出生年份,最喜欢的位置或特殊符号?
“也许,而不是选择你最喜欢的城市,你选择了你最喜欢的电影或演员或你的名字,或类似的东西,”Dougherty说。“通过电子邮件,我只是反复询问这个人,并帮助按摩它,而不是点击它们,以打破为什么他们认为他们的密码可能是,”。
然后Dougherty使用密码破解软件hashcat和他构建的程序(称为expandpass)的混合,该程序通过特定单词和符号的变化,受控排列运行,但规模很大。在GitHub上,他将expandpass描述为“对破解你有点记忆的密码很有用”。
这些程序是免费和公开的,但大多数人没有硬件或编程专业知识来使用它们。Dougherty碰巧拥有实用知识,而且他的装备非常重要:它运行的是具有16核CPU和64GB内存的1080 Ti显卡。破解密码可能需要几个月的时间。
如果他成功了,客户付钱给他。当然,在以太坊。然而,有时候,Dougherty在几个月之后关闭了一个项目,然后找到了正确的密码,他和客户分道扬..他没有称这种失败。
“没有失败的状态,对吧?”他说。“我可以继续无限期地尝试任何事情。这更像是一个放弃状态,在这个状态下我不再值得花时间或时间继续对此进行迭代,以保持我的破解装备运行。因为它确实消耗了电力。所以,有一个有趣的谈判发生。“
Dougherty在2017年阅读了一篇Reddit帖子之后开始了他的加密货币破解,这个帖子来自想要闯入他们自己的以太坊钱包的人。Redditor记得他们的部分密码,通常是它的样子,把Dougherty交给了一个完全适合他的人际编码技巧的谜题。他和其他五位程序员最终竞相破解这个用户的密码。Dougherty赢了。
“我成功地解锁了那个人的密码,然后直接从那篇文章中我开始得到,'等等,嘿,你能帮我解决这个问题吗?'”Dougherty说。“事情从那里有机地发展起来了。”
从网络钓鱼者的角度看,加密货币看起来有点复杂。从这个角度来看,当人类更容易预测时,技术协议的稳健性并不重要。Dougherty遇到了一些常见的,固有的人为加密密码怪癖,这也是潜在的安全隐患。例如,很多人使用与密码的实际功能相关的词语,如“以太坊”或“钱包”。
“我会说90%以上使用他们的出生年份或他们出生年份的最后两位数字,”Dougherty说。“另一个有趣的事情是,有一个人使用加密货币的人口统计,所以他们都倾向于在同一时间出生。这些年是一个相当狭窄的范围,这就像,这是一个安全考虑。知道这是不是不足以闯入或任何东西,但这是一个开始。“
幸运的是,Dougherty正在善用这些知识。他通常与以太坊合作,但他的方法应该以相同的方式应用于其他钱包和半忘记密码场景。随着可能改变游戏规则的加密货币即将出现,例如Facebook的Libra,Dougherty的服务应该会有很高的需求。至少,直到扎克伯格和朋友们自己进入加密货币客户服务业务。
“实际上,它的特别罕见之处在于它是协作和共识的,”他说。“因为加密货币是如此新颖,我认为这是第一个将一个人放在我的位置上的实例,我可以与客户一起共同努力,得出这些结论。”