BTC.com手机客户端

Blockchain钱包保存明文密码有错吗

晨风思以自娱 发布在 比特币 24 6332

password

因为自己从事软件开发,也涉及到用户的密码保存问题,在这方面可以从自己的经验谈一下。

举个众所周知的问题,腾讯会保存你的明文qq密码吗?也许很早以前会,至少现在是绝对不会,它的密码是加密储存在某个地方的。这样既方便用户,不用每次重新输入密码,又能杜绝偷窥者。

Blockchain为什么不学腾讯?把密码加密存储起来,到用的时候再解密,因为腾讯是闭源的,加密解密方法不容易被外界获悉。

而Blockchain是开源的,即使你加密了,别人看看源代码,写个小工具一样可以解密出来。

如此说来,Blockchain是不是就没有错?用句老古话回答就是:防君子不防小人。

由于钱包密码是很隐私,以及可能会跟其他场合密码相通的东西,如果是用普通工具,甚至不用任何工具随便偷窥一下,就能看到明文的话,有好奇心的人很可能就会禁不住诱惑而贸然行动。就像一个虚掩的门,大家很可能就会推开进去看看,而如果是锁了一把小锁,尽管随便拿个钳子就能夹断,绝大多数的人也会放弃尝试,因为那把锁强烈的暗示了里面的私密性。人都有犯罪的天性,但大部分人一旦意识到自己的行为是犯罪的时候,都会改变主意。用一个非针对性的普通文件管理软件也能看到钱包密码,会鼓励大家的去罪化心态:我只是随便看看,瞅瞅而已。但如果要下载一个专门解密钱包密码,所有人都知道是用来偷窥别人钱包密码的工具,就会激起他的良知或者畏惧(因为他会害怕别人知道他下载和使用了这类工具,判定他是小偷)。别看这种细微的心理差别,这种小小的貌似无力的多一层保护,有可能阻挡90%的偷窥行为。

Blockchain为什么不那样做,嫌麻烦呗,我以前做过一些qq的小工具,也涉及保存用户的qq密码,之前一个软件是会简单的加密一下,这样别人直接打开那个记事本只会看到一串乱码,后面的另外一个软件,我就明文保存了,主要是为了方便自己用记事本直接打开查看(因为那些不重要的qq,我也不记得每个密码各自是什么)。其实我如果要考虑周全一些,也应该继续用第一个软件的方案,加密保存,但那样我就需要再为自己专门做一个解密的工具来查看了,因为嫌费事,加上认为其他用户(也包括我自己)的qq密码也没多大重要性(因此泄密的可能性不大,后果也不严重),所以就偷懒将就了。

我的用户对其他方面的功能着眼比较多,安全性方面没放在心上(也有可能他们从来不知道我的软件保存了他们的qq密码,当然,同样是本地保存,我没办法也没兴趣进行千里偷窥),相比之下,比特币钱包的安全性是第一位的,把密码改成密文,也许不能从根本上杜绝密码泄露的问题,但至少能防范住很多无意的或非专业的偷窥行为。

打赏地址:13Dgyvf6cYE2H1angmZqPobKZeg6JMVZ3x

 

版权声明: by nc" sa 作者保留权利。文章为作者独立观点,不代表巴比特立场。

评论:24

您需要登录后才可以回复 登录|注册
    Author Image
    merry 820 天前

    非常感谢http://www.blockmeta.info/tx/e8a9234455f4b001030ab60fe58462c60de17d75bb16cde821cf909e584f0b49

    +1
    +1
    我要点评
    比特币精灵
    比特币精灵 856 天前

    个人相信仅就本次讨论点而言,bc不会也不能做恶。但无论如何,个人认为明文保存密码是不安全和不应该的,哪怕应用提供者无恶意。就像银行,他不会泄露你的密码,但是他怕你的密码被别人盗用,所以他网站用ssl传输,用sub key登录。尽可能保证用户安全,是服务提供者的责任,仅仅做到自清是不够的。

    +1
    +1
    我要点评
    黑S元素
    黑S元素 860 天前

    授权而已//@胡翌霖:回复@Kingo_XPM123:这个问题老早有人解答过了,电脑上的二维码是由js代码在已登录钱包的浏览器本地生成的。这些代码都是开源的,明文密码有否上传服务器行家都能看出来//@Kingo_XPM123:胡博,你试下就知道了,Blockchain手机钱包不用输入任何信息,只要扫描一下电脑账户中的二维码就

    +1
    +1
    我要点评
    coinpay
    coinpay 860 天前

    【Blockchain钱包保存明文密码有错吗】http://t.cn/RPf3LcL Blockchain为什么不学腾讯?把密码加密存储,用时再解密,因为腾讯是闭源,加密解密方法不易被外界获悉;Blockchain是开源,即使加密了,别人看源代码,写个小工具就可解密。那Blockchain是否就没错?

    +1
    +1
    我要点评
    Author Image
    zocean89 861 天前

    开源密码只需要看源代码就能破解?bitcoin-qt钱包、multibit钱包都是开源的,都可以设置密码。这些密码岂不是一看源代码就可以破解了?

    +1
    +1
    我要点评
      Author Image
      晨风思以自娱 861 天前

      由于app是第三方的辅助软件,所保存的密码必须是对称加密,加密、解密的方法和密钥必须相等,在真正使用的时候,必须能解密出来再使用。由于是开源代码,那么必然意味着其他人也可以用同样的方法解密。

      bitcoin-qt里面更多的是hash算法,这种“密码”是不可逆的,根本就不需要解密。

      +1
      +1
      我要点评
    Kingo_XPM123
    Kingo_XPM123 861 天前

    酱紫啊[囧]//@胡翌霖: 回复@Kingo_XPM123:这个问题老早有人解答过了,电脑上的二维码是由js代码在已登录钱包的浏览器本地生成的。这些代码都是开源的,明文密码有否上传服务器行家都能看出来。 //@Kingo_XPM123:Blockchain手机钱包不用输入任何信息,只要扫描一下电脑账户中的二维码

    +1
    +1
    我要点评
    胡翌霖
    胡翌霖 861 天前

    回复@Kingo_XPM123:不止二维码,包括钱包中的比特币地址,以及登陆后你发起的交易数据,都是在本地电脑上进行运算,签名完之后再上传的,服务器只保存加密后的私钥,加密后的私钥在客户端通过密码解密后你才能进行各种操作。归根结底始终是本地客户端掌握着你的密码。

    +1
    +1
    我要点评
    胡翌霖
    胡翌霖 861 天前

    回复@Kingo_XPM123:这个问题老早有人解答过了,电脑上的二维码是由js代码在已登录钱包的浏览器本地生成的。这些代码都是开源的,明文密码有否上传服务器行家都能看出来。 //@Kingo_XPM123:胡博,你试下就知道了,Blockchain手机钱包不用输入任何信息,只要扫描一下电脑账户中的二维码就可以配对,所有

    +1
    +1
    我要点评
    Kingo_XPM123
    Kingo_XPM123 861 天前

    胡博,你试下就知道了,Blockchain手机钱包不用输入任何信息,只要扫描一下电脑账户中的二维码就可以配对,所有用户信息都是自动下载。如果服务器不掌握明文密码,手机上的是从哪儿来的呢?我不信!//@胡翌霖: 明文密码出现在苹果app中,但blockchain钱包的服务器是不掌握的

    +1
    +1
    我要点评
    zwh888666
    zwh888666 861 天前

    大家应该设一个单独发送密码,只能在网站设置。这个手机应该是不存的,要求每次发送时输入。

    +1
    +1
    我要点评
    skbuf
    skbuf 861 天前

    我猜腾讯不会本地保存密码,首次登录且选择自动登录后,腾讯随机生成一个一次性密码(包含一些硬件校验信息)存放在本地和服务器,以后自动登录时那这个密码登录,这样即使把硬盘拔下来插到其他机器上一次性密码就会失效,比较安全

    +1
    +1
    我要点评
    比特黑点康姆
    比特黑点康姆 861 天前

    iOS 有内置 keychain,iCloud 可以同步 keychain。这样特性不用就做 app 都是自寻死路。

    +1
    +1
    我要点评
    Author Image
    chehw 861 天前

    开源软件中,只要核心功能正常,且代码中不含恶意窃取或破坏行为就没有错。有错的是习惯与饭来张口,衣来伸手的使用者,在无偿使用别人的成果的同时,不仅要求对方十全十美,还认为这种要求理所应当。
    软件有bug是正常现象,很多看起来似乎很容易解决的bug修复和调试起来及其耗费精力,开源软件的开发者往往还有其他工作要作,不能投入太多时间于其中。使用者当发现软件bug时,如果这一bug很严重,可以等fix后再继续使用(等不及的可以自己来修复),开发者并没有任何义务去提供任何形式的服务。

    +1
    +1
    我要点评

    未越狱的苹果还是靠的住的 丢了手机那没办法 //@胡翌霖:首先不能混淆,明文密码出现在苹果app中,但blockchain钱包的服务器是不掌握的;其次必须承认在本地保存明文密码相对而言还是不够安全,出现这种情况恐怕还是程序员懒惰疏忽造成;最后无论明文密文,使用手机钱包都应注意安全,一旦手机丢失或被

    +1
    +1
    我要点评
    胡翌霖
    胡翌霖 861 天前

    首先不能混淆,明文密码出现在苹果app中,但blockchain钱包的服务器是不掌握的;其次必须承认在本地保存明文密码相对而言还是不够安全,出现这种情况恐怕还是程序员懒惰疏忽造成;最后无论明文密文,使用手机钱包都应注意安全,一旦手机丢失或被木马掌控,啥密码都靠不住。

    +1
    +1
    我要点评
    He1l_Q
    He1l_Q 861 天前

    回复@李贝-XxOo:错!这是feature,不是bug![哈哈] //@李贝-XxOo:还是应该加密,防君子不防小人各种逻辑说加密钱包,不负责任了 //@He1l_Q: //@真聊比特币: 转发微博

    +1
    +1
    我要点评
    He1l_Q
    He1l_Q 861 天前

    回复@李贝-XxOo:错!这是feature,不是bug![哈哈]

    +1
    +1
    我要点评
    李贝-XxOo
    李贝-XxOo 861 天前

    还是应该加密,防君子不防小人各种逻辑说加密钱包,不负责任了

    +1
    +1
    我要点评
    HGHG011
    HGHG011 861 天前

    中肯~~顶

    +1
    +1
    我要点评
    苏庆儿暖心
    苏庆儿暖心 861 天前

    [神马] 欧美外贸原单维多性感深V侧收聚拢蝴蝶花内衣套装http://t.cn/RvRhsSX

    +1
    +1
    我要点评
    He1l_Q
    He1l_Q 861 天前

    //@真聊比特币: 转发微博

    +1
    +1
    我要点评
    盖曼
    盖曼 861 天前

    类似chrome吧?别人用你的chrome浏览器打开密码管理器全部都可以明文看到,但是google一直坚持没改,因为觉得多余,你电脑被他控制了就等于什么都不安全了。

    +1
    +1
    我要点评
    巴比特资讯
    巴比特资讯 861 天前

    【Blockchain钱包保存明文密码有错吗】http://t.cn/RPf3LcL Blockchain为什么不学腾讯?把密码加密存储,用时再解密,因为腾讯是闭源,加密解密方法不易被外界获悉;Blockchain是开源,即使加密了,别人看源代码,写个小工具就可解密。那Blockchain是否就没错?@晨风思以自娱 @cz_okcoin @王奇君Qijun

    +1
    +1
    我要点评