OKCoin

Blockchain就明文保存用户密码问题作出回应

王奇君 发布在 技术指南 48 12148

近日,有网友在巴比特网站发表了关于Blockchain的iOS比特币钱包会明文保存用户密码的事情引来不少争议。首先Blockchain团队希望我转达他们的感激,感谢中国的用户在使用条件不利的情况下如此关注Blockchain的产品以及我们的产品的安全性。作为中国区负责人和代表,我就这一问题在这里做出回应和解答。

关于钱包的安全性

事实上,Blockchain过去的iOS钱包的密码也都是明文保存的。CSO 和高级安全顾问Andreas Antonopolous在会议中简单地回应说“苹果iOS钱包明文保存密码的事情是一个‘Known Compromise’(大家都很清楚的折中)。” 而所有开发人员都清楚的是,所谓安全其实是程度的区别,就跟讨论试管的干净程度和金币的纯度一样。

安全

 

 

Blockchain保护用户数据做的最革命性的努力之一,就是完全不保存用户的密码,将自由,也意味着责任完全归还用户(.https://blockchain.info/wallet/anonymity)。所有加密和解密的动作都是在用户这一边完成的,也就是比起之前需要担心两边——用户端设备的安全性和服务提供商的安全保障,使用Blockchain钱包的用户只需要将自己使用的设备的安全性保障好。相应地,代价就是无法将用户密码保存到服务器上去,让用户端不保留密码。

明文保存密码这一所谓“漏洞“可能带来的隐患被片面放大了, 而其实钱包的安全性仍然是客观的,原因是:

iOS系统——首先,iOS系统本身在锁住之后会加密用户数据,而沙盒(Sandbox)保障了App和App之间的隔离性,所以黑客到用户手机里来看一面密码是什么难度是肉身过来的难度级别。用户只需要做的事情是,不丢手机——就跟不丢钱包一样。当然,使用越狱了的苹果手机的用户应该知道这样的安全保障就不存在了。所以,真出现丢了手机的情况时,在捡到手机的人知道比特币的条件下、在他发现你有比特币、并且设置完他自己的钱包、找到密码、转账到他的比特币地址之前,我们建议用户就近找个地方上网页端将自己帐内的比特币转移到安全钱包内。

第二密码——其次,Blockchain钱包(任何设备)在保障易用性的前提下,也一直都给用户提供更安全的选择——第二密码。第二密码是在任何设备(安卓,iOS和网页)都是不保存的,因此,如果需要更大程度的保护好自己的钱包,我们强烈建议用户多加一层保险锁。

期待更新——在app store重新欢迎比特币钱包回归的这么短的时间内,开发团队做了很大的努力让Blockchain钱包尽快上线,使iPhone用户也能尽早恢复使用。目前针对用户希望保障到更安全的程度的诉求——密文保存密码,Blockchain iOS钱包在1周后的更新中已经做到了。

关于暴力破解PIN码

暴力破解

 

PIN码的暴力破解也是类似之前的手机遗失的情况,是停留于小概率的理论情况的,但PIN码可以重复尝试的问题我们已经发现,现在提交的钱包已经修正了这个问题,这两天用户就可以更新下载了。针对众所周知的中国用户下载比特币钱包不方便的问题,Blockchain会近期开通直接下载通道。

“之前网友指出“由于是开源的,所以写个程序就能破解”,我作为非技术出生的比特币爱好者感觉到连比特币本身都有点受冒犯了,哈哈。我只能回应说有太多开源但是安全的系统和程序了,也愿意邀请大家尝试写写看这个程序。过去,由于我们的过失导致的丢币,Blockchain也都是全额做出补偿,每一周的例行工作都会花大价钱拿下用户报告的和我们自己的发现钓鱼网站,会议结束语都是“Let’s work harder and be more responsible to our users!” (让我们努力对用户更负责!),这些努力对我们而言最重要的就是最终用户的财产和信息安全得到保障。”

用户数据保存和安全策略

用户安全

 

很多币友最关心的可能就是blockchain.info的安全性,比如是否记录了用户私钥、交易信息这些问题 。关于这一问题我给出的回答是这样的:

我个人觉得“爱你就给你自由”可以说是我们爱我们的用户的方式——我们的安全策略。我们给予用户最大的空间,让他们自己选择在易用性和安全性上折中的程度。使用我们的基础钱包服务时,我们保存的是只有你可以破解的用JSON加密的信息。只有需要使用到其他一些功能时,我们才需要你的公钥。这个道理很简单,“我们没有你可以偷的比特币”,也就不怕贼惦记了。我可以非常骄傲地说,“我们的原则是希望尽可能地少来保障用户的安全”。接下来我将详尽地介绍一下我们保存的用户数据,希望大家能像之前一样耐心地帮我们一起找找问题。

公钥

Blockchain钱包可以在两种模式下运作:

禁止提醒:如果你禁止通知功能,那么公钥是加密后保存在钱包里的。在这个模式下,我们无法浏览你的公钥,也因此无法看到你的账面余额和转账。所以Blockchain是没有办法完整记录所有用户钱包内的数据的,因此可以浏览的“到底有多少比特币在你们的钱包里”的相关数据的价值也就很有限了。

提醒启用:如果你的通知功能是启用的,那么公钥和邮箱、skype以及google talk的用户名就会一起放在一个表格里。这个模式下,用户的匿名性就会需要牺牲一些,因为我们现在能看到你的公钥和你的账户余额。当然了,并不是说当钱包里有公钥,就意味着钱包拥有者就拥有该公钥了(因为你可以在没相应私钥的情况下添加公钥的)

私钥 用户未经加密的私钥从未到过我们的服务器! Blockchain钱包仍然可以以两种模式运行:
零信任模式: 你可以选择比特币地址但不导入私钥! 这个方式从根本意义上来说,即使在Blockchain.info受到安全攻击时,也能使你的比特币完全不受影响。当然,这就意味着你需要自己在别的地方保存私钥(例如用纸钱包)。

私钥模式(默认):你的私钥会被保存在加密了的钱包里。在需要解密钱包时,你需要使用设置的密码,由于该密码也从未在Blockchain的服务器上保存,在信息泄露的意外发生时,私钥仍然是完全安全的。

地址簿 用户地址簿也是保存在加密的钱包里的,Blockchain.info无法浏览用户的地址簿。
密码 你的密码从未以任何形式保存在我们的服务器上。
邮箱地址和其他个人信息 任何邮箱地址、skype或是google talk的用户名将会被保存在我们的服务器上,但我们不会和第三方分享用户的个人信息。
IP地址 我们会将钱包创建者的IP地址以SHA256算法生成哈希签名,并保存于我们的服务器。这是个单向加密运算,签名无法还原成原IP。

转账 所有我们获得转账信息,都是直接从比特币区块链中直接获得的,并且使用的是我们的公开提供的API。
Dropbox 使用Dropbox同步功能会给Blockchain.info权限浏览所有保存在“Blockchain.info”文件夹下的文件,但我们无法知道你的用户名和密码。
存款方式Deposit Methods 能够保留的信息What information may be recorded depends on the deposit method used.

 

作者:王奇君

版权声明: by nc" sa 作者保留权利。文章为作者独立观点,不代表巴比特立场。

评论:48

您需要登录后才可以回复 登录|注册

    口袋里的投影机,200寸的巨屏影院,DiorsTV电视表哥,投影机/wifi/音箱/锂电/充电宝五位一体,仅重400g,待机3小时,原价1999,众筹特价999起,京东抢购链接:http://t.cn/Rh2yuME

    +1
    +1
    我要点评
    比特币精灵
    比特币精灵 859 天前

    没有看到原帖,所以不确定所谓的【明文保存密码】中的“密码”具体是指哪一个密码?如果这个“密码”是指登录blockchain的密码,建议这样处理:用密码加密密码本身,再将加密后的密码存在用户本地。这样的安全措施,与应用提供者是否有恶意并不冲突。即使没有恶意,这样做也能让用户更安全。

    +1
    +1
    我要点评
    胡翌霖
    胡翌霖 862 天前

    回复@cointetris:货币:http://t.cn/RPMefEn 印刷术:http://t.cn/SP3w5m 电影:http://t.cn/zlhFVe8 互联网:http://t.cn/8k0L1Qz

    +1
    +1
    我要点评
    cointetris
    cointetris 862 天前

    回复@胡翌霖:听起来有些意思,能举个例子么?比如某种技术会带来哪些哲学方面的问题?我很感兴趣。

    +1
    +1
    我要点评
    胡翌霖
    胡翌霖 862 天前

    回复@cointetris:与科学或技术相关的哲学研究。。。其实也就是恰好有这个专业而已。

    +1
    +1
    我要点评
    cointetris
    cointetris 862 天前

    请问什么是科技哲学?

    +1
    +1
    我要点评
    007龙少
    007龙少 863 天前

    回复@_关旭_:[哈哈]

    +1
    +1
    我要点评
    _关旭_
    _关旭_ 863 天前

    好比一堆肉怕丢,扣个筐(加个密码)可以防野猫,再压块石头(密码再加密)可以防野狗,狼来了,都白扯。

    +1
    +1
    我要点评
    007龙少
    007龙少 863 天前

    @_关旭_ 还有你这个加解密高手!看看这个全球最棒的钱包的密码保存方案怎么样?//@007龙少: 话说我也认识几个在安全公司做杀毒软件的朋友,一会儿发给他们,听听他们的意见。@无敌码农_辉爷 你这安全高手,有空看看呗! //@王奇君Qijun:感谢@巴比特资讯 中立客观地行业监督和对不同观点和意见的鼓励。

    +1
    +1
    我要点评

    #严打暴恐# 【新疆各族政法干警严厉谴责莎车暴恐案件】7月28日凌晨,新疆喀什地区莎车县发生一起严重暴力恐怖袭击案件。新疆各族政法干警深感沉痛,并愤怒声讨暴恐分子的罪恶行径,暴恐分子精心选择时机,袭击政府机关、打砸焚烧车辆、残害无辜群众,给各族人民生命财产安全和社会稳定造成严重损害。

    +1
    +1
    我要点评
    007龙少
    007龙少 863 天前

    话说我也认识几个在安全公司做杀毒软件的朋友,一会儿发给他们,听听他们的意见。@无敌码农_辉爷 你这安全高手,有空看看呗! //@王奇君Qijun:感谢@巴比特资讯 中立客观地行业监督和对不同观点和意见的鼓励。

    +1
    +1
    我要点评
    007龙少
    007龙少 863 天前

    话说我也认识几个在安全公司做杀毒软件的朋友,一会儿发给他们,听听他们的意见。@无敌码农_辉爷 你这安全高手,有空看看呗!

    +1
    +1
    我要点评
    Author Image
    aixiangsui 863 天前

    “用户只需要做的事情是,不丢手机——就跟不丢钱包一样。”—-这不废话么,要是丢了手机就等于丢了比特币,那用户还要你这个在线钱包何用?

    +1
    +1
    我要点评
      Author Image
      癫痫小蒙牛 863 天前

      这句有道理,哈哈

      +1
      +1
      我要点评
    Author Image
    aixiangsui 863 天前

    很明显的低级错误

    +1
    +1
    我要点评
    miao_grace
    miao_grace 863 天前

    泡沫剧都开始提及比特币了[鼓掌][鼓掌][鼓掌][鼓掌][鼓掌]

    +1
    +1
    我要点评
    chehw_1
    chehw_1 863 天前

    回复@码农周琪:如果设置了Windows的用户登录密码,那么,查看chrome密码管理器时也需要输入密码。(不少Windows 用户可能为了使用方便,没设置系统登录密码,所以才可以直接看)

    +1
    +1
    我要点评

    //@胡翌霖: 建议再增加一些技术的普及性介绍,比如如何做到不保存密码而又实现交易的,有人看到手机只需扫描二维码就能获得密码信息,就认为密码是在服务器上的,但不知道二维码也是本地生成的。//@Blockchain-info: [心]//@王奇君Qijun:感谢@巴比特资讯 中立客观地行业监督和对不同观点和意见的鼓励。

    +1
    +1
    我要点评
    天上星╭★
    天上星╭★ 863 天前

    回复@盖曼:就是明文的,貌似在chrome安装盘下用txt文档保存…

    +1
    +1
    我要点评
    胡翌霖
    胡翌霖 863 天前

    建议再增加一些技术的普及性介绍,比如如何做到不保存密码而又实现交易的,有人看到手机只需扫描二维码就能获得密码信息,就认为密码是在服务器上的,但不知道二维码也是本地生成的。//@Blockchain-info: [心]//@王奇君Qijun:感谢@巴比特资讯 中立客观地行业监督和对不同观点和意见的鼓励。

    +1
    +1
    我要点评
    亨利问
    亨利问 863 天前

    赞右边![good]//@王奇君Qijun:对啊,@亨利问 真是的,不知道收了谁的钱,帮我们做曝光度营销!再接再厉啊![可怜]//@BitFury: 给钱就拍马屁 什么公共平台哦 公关平台差不多吧//@长铗:Blockchain.info对安全的理解与国内用户不同。

    +1
    +1
    我要点评
    王奇君Qijun
    王奇君Qijun 863 天前

    对啊,@亨利问 真是的,不知道收了谁的钱,帮我们做曝光度营销!再接再厉啊![可怜]//@BitFury: 给钱就拍马屁 什么公共平台哦 公关平台差不多吧//@长铗:Blockchain.info对安全的理解与国内用户不同。

    +1
    +1
    我要点评
    亨利问
    亨利问 863 天前

    比特币圈都是 #为了营销,不要底线# 的奇葩吗[疑问]//@亨利问:明文密码原来是为了「营销」啊![吃惊]//@王奇君Qijun:对@巴比特资讯 自主权和审美的充分尊重,我个人是举双手希望那篇文章保留的。要说给钱,帮我们做了这么好的营销,还不如问问@亨利问 有没有收我的钱吧?[哈哈]//@BitFury://@长铗:

    +1
    +1
    我要点评
    码农周琪
    码农周琪 863 天前

    回复@盖曼:噢,我也看过,当时没多想。safari要看得输入系统密码

    +1
    +1
    我要点评
    亨利问
    亨利问 863 天前

    明文密码原来是为了「营销」啊![吃惊]//@王奇君Qijun:在对@巴比特资讯 自主权和审美的充分尊重的情况下,我个人是举双手希望那篇文章保留的。要说给钱,帮我们做了这么好的营销,还不如问问@亨利问 有没有收我的钱吧?[哈哈]//@BitFury: 给钱就拍马屁 什么公共平台哦 公关平台差不多吧//@长铗:

    +1
    +1
    我要点评
    boogie_若天
    boogie_若天 863 天前

    敬佩你们这样的公司,有着比盈利更高的志向。[good]

    +1
    +1
    我要点评
    BTC社区
    BTC社区 863 天前

    回复@BitFury:没必要这样吧

    +1
    +1
    我要点评
    BitFury
    BitFury 863 天前

    回复@王奇君Qijun:把我们当傻逼啊 巴比特和你没关机公关就怪了啊

    +1
    +1
    我要点评
    BitFury
    BitFury 863 天前

    哈哈 撒谎不心跳 鬼才信他//@王奇君Qijun:@巴比特咨讯 从未收到我本人或是@Blockchain-info 团队请求删帖的任何联系,并且还又刊登了另外两篇质疑文章,足以证明其立场,至于产品质量控制这是平台的自由。//@BitFury: 给钱就拍马屁 什么公共平台哦 公关平台差不多吧//@长铗:Blockchain.info对安全

    +1
    +1
    我要点评
    王奇君Qijun
    王奇君Qijun 863 天前

    @巴比特咨讯 从未收到我本人或是@Blockchain-info 团队请求删帖的任何联系,并且还又刊登了另外两篇质疑文章,足以证明其立场,至于产品质量控制这是平台的自由。//@BitFury: 给钱就拍马屁 什么公共平台哦 公关平台差不多吧//@长铗:Blockchain.info对安全的理解与国内用户不同。

    +1
    +1
    我要点评
    盖曼
    盖曼 863 天前

    回复@码农周琪:不是明文存的,但你可以到chrome浏览器的设置里查看所有已保存的密码,点一下“显示”就明文了。

    +1
    +1
    我要点评
    码农周琪
    码农周琪 863 天前

    回复@盖曼:chrome的记住密码是明文存的呢?那我还是老老实实用safari吧。。。

    +1
    +1
    我要点评
    BitFury
    BitFury 863 天前

    感谢他的事删帖吧//@王奇君Qijun:感谢@巴比特资讯 中立客观地行业监督和对不同观点和意见的鼓励。

    +1
    +1
    我要点评
    Author Image
    比特暴民 863 天前

    “私钥模式(默认):”
    排版有错误

    +1
    +1
    我要点评
    盖曼
    盖曼 863 天前

    跟google对安全的理解类似,物理安全都没了,还谈什么安全,所以chrome的密码管理器一直能明文看所有密码。

    +1
    +1
    我要点评
    BitFury
    BitFury 863 天前

    回复@长铗:给钱就拍马屁 什么公共平台哦 公关平台差不多吧

    +1
    +1
    我要点评
    BitFury
    BitFury 863 天前

    回复@长铗:给钱就拍马屁 什么公共平台哦 公关平台差不多吧

    +1
    +1
    我要点评
    比特暴民
    比特暴民 863 天前

    “私钥模式(默认):”此处排版错误。

    +1
    +1
    我要点评
    长铗
    长铗 863 天前

    Blockchain.info对安全的理解与国内用户不同。

    +1
    +1
    我要点评
    BitFury
    BitFury 863 天前

    回复@王奇君Qijun:[嘻嘻]巴比特帮你删帖、删用户,收了你多少钱

    +1
    +1
    我要点评
    BitFury
    BitFury 863 天前

    回复@王奇君Qijun:[嘻嘻]巴比特帮你删帖、删用户,收了你多少钱

    +1
    +1
    我要点评
    BitFury
    BitFury 863 天前

    [嘻嘻]巴比特帮你删帖、删用户,收了你多少钱

    +1
    +1
    我要点评
    Kingo_XPM123
    Kingo_XPM123 863 天前

    //@比特币azure:挺详细。

    +1
    +1
    我要点评
    Blockchain-info
    Blockchain-info 863 天前

    [心]//@王奇君Qijun:感谢@巴比特资讯 中立客观地行业监督和对不同观点和意见的鼓励。

    +1
    +1
    我要点评
    比特币azure
    比特币azure 863 天前

    挺详细。

    +1
    +1
    我要点评
    Robin37s
    Robin37s 863 天前

    我是挺欣赏blockchain的这种态度的

    +1
    +1
    我要点评
    王奇君Qijun
    王奇君Qijun 863 天前

    感谢@巴比特资讯 中立客观地行业监督和对不同观点和意见的鼓励。

    +1
    +1
    我要点评
    巴比特资讯
    巴比特资讯 863 天前

    【Blockchain就明文保存用户密码问题作出回应】昨日,关于Blockchain的iOS比特币钱包会明文保存用户密码的事情引来不少争议,@王奇君Qijun 作为Blockchain团队中国地区的负责人和代表,就这一问题做出回应和解答。http://t.cn/RPIp1XU

    +1
    +1
    我要点评