2014-07-30 18:07

Blockchain钱包保存明文密码有错吗

password

因为自己从事软件开发,也涉及到用户的密码保存问题,在这方面可以从自己的经验谈一下。

举个众所周知的问题,腾讯会保存你的明文qq密码吗?也许很早以前会,至少现在是绝对不会,它的密码是加密储存在某个地方的。这样既方便用户,不用每次重新输入密码,又能杜绝偷窥者。

Blockchain为什么不学腾讯?把密码加密存储起来,到用的时候再解密,因为腾讯是闭源的,加密解密方法不容易被外界获悉。

而Blockchain是开源的,即使你加密了,别人看看源代码,写个小工具一样可以解密出来。

如此说来,Blockchain是不是就没有错?用句老古话回答就是:防君子不防小人。

由于钱包密码是很隐私,以及可能会跟其他场合密码相通的东西,如果是用普通工具,甚至不用任何工具随便偷窥一下,就能看到明文的话,有好奇心的人很可能就会禁不住诱惑而贸然行动。就像一个虚掩的门,大家很可能就会推开进去看看,而如果是锁了一把小锁,尽管随便拿个钳子就能夹断,绝大多数的人也会放弃尝试,因为那把锁强烈的暗示了里面的私密性。人都有犯罪的天性,但大部分人一旦意识到自己的行为是犯罪的时候,都会改变主意。用一个非针对性的普通文件管理软件也能看到钱包密码,会鼓励大家的去罪化心态:我只是随便看看,瞅瞅而已。但如果要下载一个专门解密钱包密码,所有人都知道是用来偷窥别人钱包密码的工具,就会激起他的良知或者畏惧(因为他会害怕别人知道他下载和使用了这类工具,判定他是小偷)。别看这种细微的心理差别,这种小小的貌似无力的多一层保护,有可能阻挡90%的偷窥行为。

Blockchain为什么不那样做,嫌麻烦呗,我以前做过一些qq的小工具,也涉及保存用户的qq密码,之前一个软件是会简单的加密一下,这样别人直接打开那个记事本只会看到一串乱码,后面的另外一个软件,我就明文保存了,主要是为了方便自己用记事本直接打开查看(因为那些不重要的qq,我也不记得每个密码各自是什么)。其实我如果要考虑周全一些,也应该继续用第一个软件的方案,加密保存,但那样我就需要再为自己专门做一个解密的工具来查看了,因为嫌费事,加上认为其他用户(也包括我自己)的qq密码也没多大重要性(因此泄密的可能性不大,后果也不严重),所以就偷懒将就了。

我的用户对其他方面的功能着眼比较多,安全性方面没放在心上(也有可能他们从来不知道我的软件保存了他们的qq密码,当然,同样是本地保存,我没办法也没兴趣进行千里偷窥),相比之下,比特币钱包的安全性是第一位的,把密码改成密文,也许不能从根本上杜绝密码泄露的问题,但至少能防范住很多无意的或非专业的偷窥行为。

打赏地址:13Dgyvf6cYE2H1angmZqPobKZeg6JMVZ3x

 

本文链接:https://www.8btc.com/article/25214
转载请注明文章出处

评论(24)
登录 账号发表你的看法,还没有账号?立即免费 注册
merry 2014-09-09
非常感谢http://www.blockmeta.info/tx/e8a9234455f4b001030ab60fe58462c60de17d75bb16cde821cf909e584f0b49
我是大宇 2014-08-04
个人相信仅就本次讨论点而言,bc不会也不能做恶。但无论如何,个人认为明文保存密码是不安全和不应该的,哪怕应用提供者无恶意。就像银行,他不会泄露你的密码,但是他怕你的密码被别人盗用,所以他网站用ssl传输,用sub key登录。尽可能保证用户安全,是服务提供者的责任,仅仅做到自清是不够的。
我是大宇 2014-07-31
授权而已//@胡翌霖:回复@Kingo_XPM123:这个问题老早有人解答过了,电脑上的二维码是由js代码在已登录钱包的浏览器本地生成的。这些代码都是开源的,明文密码有否上传服务器行家都能看出来//@Kingo_XPM123:胡博,你试下就知道了,Blockchain手机钱包不用输入任何信息,只要扫描一下电脑账户中的二维码就
我是大宇 2014-07-31
【Blockchain钱包保存明文密码有错吗】http://t.cn/RPf3LcL Blockchain为什么不学腾讯?把密码加密存储,用时再解密,因为腾讯是闭源,加密解密方法不易被外界获悉;Blockchain是开源,即使加密了,别人看源代码,写个小工具就可解密。那Blockchain是否就没错?
zocean 2014-07-31
开源密码只需要看源代码就能破解?bitcoin-qt钱包、multibit钱包都是开源的,都可以设置密码。这些密码岂不是一看源代码就可以破解了?
  • 晨风思以自娱: 2014-07-31
    由于app是第三方的辅助软件,所保存的密码必须是对称加密,加密、解密的方法和密钥必须相等,在真正使用的时候,必须能解密出来再使用。由于是开源代码,那么必然意味着其他人也可以用同样的方法解密。 bitcoin-qt里面更多的是hash算法,这种“密码”是不可逆的,根本就不需要解密。
我是大宇 2014-07-30
酱紫啊[囧]//@胡翌霖: 回复@Kingo_XPM123:这个问题老早有人解答过了,电脑上的二维码是由js代码在已登录钱包的浏览器本地生成的。这些代码都是开源的,明文密码有否上传服务器行家都能看出来。 //@Kingo_XPM123:Blockchain手机钱包不用输入任何信息,只要扫描一下电脑账户中的二维码
我是大宇 2014-07-30
回复@Kingo_XPM123:不止二维码,包括钱包中的比特币地址,以及登陆后你发起的交易数据,都是在本地电脑上进行运算,签名完之后再上传的,服务器只保存加密后的私钥,加密后的私钥在客户端通过密码解密后你才能进行各种操作。归根结底始终是本地客户端掌握着你的密码。
我是大宇 2014-07-30
回复@Kingo_XPM123:这个问题老早有人解答过了,电脑上的二维码是由js代码在已登录钱包的浏览器本地生成的。这些代码都是开源的,明文密码有否上传服务器行家都能看出来。 //@Kingo_XPM123:胡博,你试下就知道了,Blockchain手机钱包不用输入任何信息,只要扫描一下电脑账户中的二维码就可以配对,所有
我是大宇 2014-07-30
胡博,你试下就知道了,Blockchain手机钱包不用输入任何信息,只要扫描一下电脑账户中的二维码就可以配对,所有用户信息都是自动下载。如果服务器不掌握明文密码,手机上的是从哪儿来的呢?我不信!//@胡翌霖: 明文密码出现在苹果app中,但blockchain钱包的服务器是不掌握的
我是大宇 2014-07-30
大家应该设一个单独发送密码,只能在网站设置。这个手机应该是不存的,要求每次发送时输入。
我是大宇 2014-07-30
我猜腾讯不会本地保存密码,首次登录且选择自动登录后,腾讯随机生成一个一次性密码(包含一些硬件校验信息)存放在本地和服务器,以后自动登录时那这个密码登录,这样即使把硬盘拔下来插到其他机器上一次性密码就会失效,比较安全
我是大宇 2014-07-30
iOS 有内置 keychain,iCloud 可以同步 keychain。这样特性不用就做 app 都是自寻死路。
chehw 2014-07-30
开源软件中,只要核心功能正常,且代码中不含恶意窃取或破坏行为就没有错。有错的是习惯与饭来张口,衣来伸手的使用者,在无偿使用别人的成果的同时,不仅要求对方十全十美,还认为这种要求理所应当。 软件有bug是正常现象,很多看起来似乎很容易解决的bug修复和调试起来及其耗费精力,开源软件的开发者往往还有其他工作要作,不能投入太多时间于其中。使用者当发现软件bug时,如果这一bug很严重,可以等fix后再继续使用(等不及的可以自己来修复),开发者并没有任何义务去提供任何形式的服务。
我是大宇 2014-07-30
未越狱的苹果还是靠的住的 丢了手机那没办法 //@胡翌霖:首先不能混淆,明文密码出现在苹果app中,但blockchain钱包的服务器是不掌握的;其次必须承认在本地保存明文密码相对而言还是不够安全,出现这种情况恐怕还是程序员懒惰疏忽造成;最后无论明文密文,使用手机钱包都应注意安全,一旦手机丢失或被
我是大宇 2014-07-30
首先不能混淆,明文密码出现在苹果app中,但blockchain钱包的服务器是不掌握的;其次必须承认在本地保存明文密码相对而言还是不够安全,出现这种情况恐怕还是程序员懒惰疏忽造成;最后无论明文密文,使用手机钱包都应注意安全,一旦手机丢失或被木马掌控,啥密码都靠不住。
我是大宇 2014-07-30
回复@李贝-XxOo:错!这是feature,不是bug![哈哈] //@李贝-XxOo:还是应该加密,防君子不防小人各种逻辑说加密钱包,不负责任了 //@He1l_Q: //@真聊比特币: 转发微博
我是大宇 2014-07-30
回复@李贝-XxOo:错!这是feature,不是bug![哈哈]
我是大宇 2014-07-30
还是应该加密,防君子不防小人各种逻辑说加密钱包,不负责任了
我是大宇 2014-07-30
中肯~~顶
我是大宇 2014-07-30
[神马] 欧美外贸原单维多性感深V侧收聚拢蝴蝶花内衣套装http://t.cn/RvRhsSX
  • 1
  • 2
下载
分享
阅读
评论
24
点赞
上一篇
下一篇