比特大陆蚂蚁矿机S7

脑钱包狂想曲(一) 之 用脑钱包加密你的帐号密码

陈波Nimrod 发布在 其它文章,技术指南 1 10380

脑钱包狂想曲(一) 之 用脑钱包加密你的帐号密码

 

password_security_shutterstock_103378880_580

导言

 

 

比特币世界是一个充满了机遇的神奇世界,但同时也是一个充满了危险的世界。比特币被盗我们绝不少听到,而且随着比特币币值和普及度都越来越高,大小黑客会蜂拥地进入这个世界,安全就绝对会成为一个很大的问题。这是一场矛与盾的装备竞赛,只有时刻提高安全意识才能在这场攻与防的战争中占据优势地位。本文为你讲述一种帐号密码加密的方法,为了你能更安全地畅游比特币世界加一道防火墙。

 

一、盗取密码的几种方法

在讲述如何防守之前,我们先来了解一下盗号的几种常见方法,知己知彼方能百战不殆。

【1】木马病毒
<ignore_js_op>

首当其冲的当然就是病毒木马了。中了木马而你又没有察觉的话,那么别人要盗你的号基本上是分分钟的事了。木马最常见的盗号方法就是键盘记录,然后通过邮箱发给种木马的黑客。有人可能觉得都用虚拟键盘就万无一失了。用虚拟键盘确实会更安全一些,但是并不能保证万无一失,因为有些木马不单是记录键盘,还有截屏和其他的办法。


防范方法:在比特币世界里要保证不受病毒侵害,我建议还是要从根源做起,那就是远离windows,windows因为是开放平台又是普及度最高的操作系统,又漏洞百出,病毒木马层出不穷,所以基本上是不可能做到万无一失的。360杀毒?不,不,不,卡巴斯基小红伞诺顿都不顶用。杀毒软件永远都是滞后的。特别是新病毒在开始传播之前首先就要做免杀,能过主流的杀毒软件才放出去传播的。在高级黑客眼里就没有攻不下的windows,你简直就像是待宰的羔羊一样。推荐用苹果的系统,因为是封闭系统,所以不越狱的话基本不会有太大的问题。当然苹果的电脑不是每个人都愿意花这个钱的。我们可以退而求其次,可以装一个免费的ubuntu系统。Ubuntu是一个基于linux的桌面的操作系统,linux上的出现过的病毒简直用手指头都能掰得过来。而且也有ubuntu版的bitcoin客户端,特效比win7还要炫,关键是免费的。但是并不是说ubuntu就一定安全,以后用ubuntu的bitcoiner多了,说不定相关病毒也会多起来。

 

【2】密码泄漏关联破解

<ignore_js_op>

 

讲这个之前,我们先来看看几个旧闻。

 

旧闻一:天涯社区用户密码泄漏 涉及4000万用户隐私
凤凰网报道 http://tech.ifeng.com/internet/detail_2011_12/25/11556706_0.shtml

旧闻二:CSDN”密码外泄门”
百度百科 http://baike.baidu.com/link?url=74Oc5Ry1Q87YJAC8tEwcSS8wI8Rol4ZN3vbhkaUo5t4lp4sA-2hfPD1Yz626lnJvROf-DAkyR4E5t4NBGMNKeq

 

看到了吗?我们以前用的帐号密码早就不泄漏了,特别是对于在好几个网站论坛都用一样密码的朋友们就更不安全了。不单单是上面这两个网站而已。一个自称全国最全的专门售卖网民账户密码的网站【社工库】声称他们有腾讯QQ、阿里巴巴、中国联通、51job、银行、购物等网站账户密码库。只要500元就能买到100万条密码。其中一部分还是以明文形式的存储的。我上他们的网站查了一下我以前常用的邮箱,还真能查到。有了一个邮箱和密码就能挨个网站试,总有人是用同样密码的人。买卖帐号密码在黑客已经形成一定的产业链了。小伙伴们有没有惊呆了。

 

风险提示:社工库的网站在杀毒软件那里是属警戒的,想查讯的朋友最好不要试着输入自己的密码。查查自己的邮箱看其密码有没有被别人用来做买卖,估计问题还是不大的。也请不要乱下载他们的软件。

 

防范方法:不同的网站用不同的密码。至于怎么样才能更方便安全地设置帐号密码是本文要讲的重点,后面会具体讲解。

 

【3】基于心理猜测的暴力破解

<ignore_js_op>

 

此盗号方法是针对性的破解。就是黑客针对已知的某人进行破解。首先,他们会去收集你的一切相关信息。什么?他收集不到?对于我们有几年网龄的人来说,在互联网上就相当于赤身裸体一样,毫无隐私可言。要找到你的信息简直太容易了,你平时注册的一些论坛网站,分分钟拿你的个人信息去卖给广告公司和黑客。不信你可以百度一下你的名字或者昵称帐号。找到一点信息后只要耐心点就可以顺藤摸瓜把你人肉出来。(不要问我中本聪是谁)收集完后,你的生日、电话、地址、身份证号、常用密码甚至你男女朋友的生日、电话、地址身份证号、常用密码组合起来做一个字典,只要不是太高强度的密码都能给你破解了。

 

防范方法:平时注册论坛网站最好不要泄漏太多真实的个人信息。

 

【4】基于字典的暴力破解
<ignore_js_op>

 

 

以上都不管用后还可以用字典来暴力破解。不要小看字典的威力。下图上的文件夹里有2.8G的密码库,能把很多人的密码涵盖进去。特别是喜欢用名字拼音、生日、电话号码做密码的朋友。如果是简单的密码,写个软件,挂个字典,破解你的密码也只是时间问题。

 

防范方法:防止暴力破解,只能足够用足够强壮的密码了。什么是强壮的密码,下一节详细讲述。
2.8G的密码字典也只是冰山一角。

 

<ignore_js_op>

 

 

二、密码强度等级

<ignore_js_op>

 

讲完了攻方的矛,下面来看看我们自己的盾有多强。

 

基本上我们的密码常用字符分成四类:数字、小写英文、大写英文、符号,然后按照组合复杂度来直接判断强弱程度:

【等级一】:.超弱密码
低于6位纯数字或纯字母且有规律的密码

111222
112233
112233
.
.
.

888999
960628
987654
987654
abcde
abcdef
abcdef

这类低于6位纯数字纯字母且有规律的密码,几乎就是等死型的密码。不被盗号简直才就是个奇迹。

 

【等级二】:弱密码
低于8位的有规律的字母或单词数字组合密码。

abc12345
chenbo123
hello520
love1314
.
.
.

【等级三】.中密码
高于或等于8位的无规律但带有个人信息的字母与数字组合密码

chenbo19870304    (名字和生日)
chenbo139759681684  (名字和电话)
.
.
.

【等级四】.强密码
高于或等于8位的无规律且不带任何具体含义的字母(大小写)与数字组合密码
如:
dsoe98463
ighw98615q
Lwde681345

 

【等级五】.极强密码
高于或等于10位的无规律且不带任何具体含义的字母(大小写)与数字特殊符号组合密码
Row84633@bswo
Qwoix98435@qxoe#
#9681#dqax

小伙伴们快来对照一下自己的密码强度。个人认为,要想在比特币世界安全长久的畅游等级四的密码是必不可少的,而比特币钱包用密码强度五甚至超等级五都不过分。因为比特币钱包验证密码不需要经过网络没有验证码,所以大大降低了暴力破解的难度。

 

三、帐号密码的加密手法

<ignore_js_op>



铺垫了这么长终于要进入正题了,如何强化你的盾,保护好你的帐号密码。

 

 

【1】帐号密码分类
为了更好的保护我们的比特币世界里的财产,我们需要把比特币世界里有资产的帐号与以前的帐号密码完全割裂开。以防止黑客通过我们以前泄漏的帐号密码来破解比特币世界的账户密码。
我们来把我们的帐号密码分成两类。


【第一种】被盗号之后不会对你财产造成损失的,如:一般的网站论坛。
【第二种】则会造成财产损失的。如:网游的帐号、淘宝之类的。

 

【第一种】为了方便平时使用,可以用同样的帐号,但是密码应该加一两个区别码。比如说,我的一类密码是  cso98642,百度的就是 csobu98642 。区别码就是bu【取baidu.com的首字母b和末字母u】豆瓣的就是 csodn98642。这样设置既能简单的记住各网站的密码,又不会相同。

 

【第二种】因为被盗的话会损失财产,所以我们要把帐号也加上区别码。且不能同第一种帐号相同。比如说:我的二类帐号是 nimrod  密码是 doi98547,那我在淘宝的帐号就是 nimrodaa帐号的区别码就是aa【取taobao.com中taobao第二个字符和倒数第二个字符】密码就是  doito98574【取taobao.com中taobao第一个字符和倒数第一个字符】  其他的以此类推。

 

【2】设置一个更强大更好用帐号和密码。
像上面提到的这种加区别码的帐号密码加密方法要是碰到一个有一定密码学基础的黑客碰巧他又有耐心去找你帐号密码的规律的话就也不安全了。下面这个软件可以解决这种情况。

这里有一个这样的一个软件。
《密码字典》
<ignore_js_op>

 

 

        这是一个基于DES对称加密算法的密码管理软件,可以只记住一个密码就能生成不同网站加密密码。在加密密钥里填写同一个密码,然后只要变换项目栏里的字符,就能得到不同的密码。这样就可以只记住加密密钥里【千里江陵一日换】,然后输入不同的项目,比如图上所示,【淘宝- admin】 就能得到一个加密后的密码nhuyjk,然后用加密后的密码去设置淘宝网的密码。下次要是忘记了密码,只要在加密密钥里 填上 千里江陵一日还 ,项目里选择 淘宝-admin,就能找回这个密码了。然后项目栏里可以变换成 【巴比特论坛-nimrod】   【百度-chend08】,就能得到相应的密码了。很方便地只要记住了加密密钥能得到不同的网站不同帐号的不同密码了。
如下图:
<ignore_js_op>

 

【3】设置一个更强大更好更易于使用帐号和密码。

 

  理论上,我们在比特币世界里不应该相信上面提到的密码软件的,毕竟把自己的帐号密码交给一个不知名小软件确实是很冒险。而且还不能跨平台用。没关系,我上面讲的只是一个原理而已。下面我们把第一第二结合起来。其实我们比特币世界里就有这样一个更好用更便捷的密码加密软件。没错,就是脑钱包。输入要注册的网站+密语,即  8btc.com天王盖地虎(如果一个网站要用到几个帐号还可以加上帐号),然后我们取地址address的后两位nz(不区分大小写)作为帐号的区别码,取私匙private key的后三位1cb作为密码的区别码。用脑钱包是一个很棒的密码加密工具。平时我们可以把各个网站的区别码到本子上,多登录几次就记得了。有时候没带本子又不记得也没关系,只要到随便找一个脑钱包的网站,输入网址+口令就能找回。而且还是跨平台使用的,连手机都可以用得上。

 

<ignore_js_op>

 

 

例如:

加密前
帐号:是 nimrod
密码:是 fdq19874 【为了密码的无序性,我的密码是取自我的比特币地址】

 

那么我在8btc.com加密后的帐号密码就是

帐号: nimrod【nz】
密码:fdq【1cb】19874    【 把区别码放到这个位置是为了最大限度地迷惑黑客】

 

        可是这样有一个问题就是,在比特币世界中有不少交易网站是直接用email当作登录的ID的。所以我们还需要对应地注册一些邮箱,比如8btc.com的帐号加密后帐号就是nimrodnz,那我就去申请一个 nimrodnz@qq.com 当作注册邮箱。有的朋友认为QQ邮箱不安全。我倒是觉得安不安全就看你怎么用了。我是觉得QQ邮箱很棒,可以用一个邮箱同时管理几个邮箱,很方便地在几个邮箱之间来回切换,特别适合我们比特币世界中使用。但是要有一些设置才能更安全。比如主帐号要设置邮箱的独立密码,禁止从IM直接登录等等。

 


<ignore_js_op>

 

结束语:到这里文章就结束了。我的方法不一定是最完美的,但是希望能给你一定思路。前面之所以啰嗦地铺垫了很多,有些安全问题甚至稍微地夸大了一点点,是因为想让更多bitcoiner建立起安全忧患意识,这一点很重要。只有你知道自己是不安全的,你才会去想办法保护自己,才能更加安全地畅游比特币。不至于辛苦攒的bitcoin被黑客偷走,然后对整个比特币世界都感到灰心了。

版权声明: by nc" sa 作者保留权利。文章为作者独立观点,不代表巴比特立场。

评论:1

您需要登录后才可以回复 登录|注册