服務項目

需求溝通

挖礦錢包開發

  維度分析之軟件錢包

  1.可攻擊性維度

  由于攻擊軟件錢包的技術門檻低、經濟成本低、犯罪成本低、預期收益高,軟件錢包的可攻擊性高。挖礦錢包開發。

  從技術門檻上看,軟件錢包不具備“三有”要素:連接網絡會導致助記詞的不安全保存,交易密碼設置弱口令,貨幣價格走勢數據被替換等;系統不完整性的話主要是基于安卓系統,安卓系統會導致手機不能覺察到物理攻擊;由于前兩者不能保證安全性從而導致錢包種子保密性也不會安全。因此攻擊軟件錢包的技術門檻相對并不高。

  從經濟成本上看,因為軟件錢包時常聯網,黑客只需坐在電腦前即可遠程攻擊無數的軟件錢包,而且是同一種攻擊手段反復可以用,不需要很多人配合以及很大的運作成本。

  從犯罪成本上看,黑客通過互聯網可以跨國進行盜竊,而且可以把自己IP隱藏起來或者放置到其他的地方,幾乎很難追蹤到黑客的真身。

  從預期收益上看,現階段投資者還未能足夠重視加密資產的保密性,所以很多用戶都是把加密資產放置到軟件錢包存儲,給黑客很大的可攻擊用戶基數。黑客可以比較輕松地在電腦背后攻擊大量的軟件錢包,一旦成功則收益十分可觀。

  2.可用性維度

  目前軟件錢包上能夠運用的安全技術選擇并不多。較低的技術水平造成安全性與用戶體驗極難平衡,因此總體的可用性處于比較低的水平。挖礦錢包開發。

  在國內,軟件錢包往往等同于手機App錢包,較少用戶使用PC上的軟件錢包。然而無論如何,軟件錢包面臨的首要問題就是私鑰或者種子如何保密。PC上流行過勒索病毒WannaCry,加密用戶的資產文件并索要贖金。其實能夠勒索,就能夠轉移文件。

  另外一種就是從PC或手機上盜取加密私鑰文件,進行撞庫,或者再利用加密方案實現的缺陷進行破解。當然后者的技術門檻就更高了,但也沒有高到天際。一項MIT計算機科學與人工智能實驗室的研究結果表明,超過10%的錯誤密碼學實現體現為把解密密鑰硬編碼在代碼里面。讀者們不要覺得這好像天方夜譚。仔細思考一下軟件錢包還能把解密密鑰保存在哪些地方?混淆一下放代碼里面是很顯然的一個選項,其它選項也好不到哪里去,除非底層操作系統提供足夠堅固的安全措施。

  好一點的做法是要求用戶輸入一個密碼進行加密,但是這里又會有其它問題,弱密碼、撞庫等等是一方面,利用木馬獲取鍵盤輸入從而取得用戶密碼是另一方面。

  上面對軟件錢包的安全性做了理論上的分析。而真實的現實安全狀況遠遠比理論分析的還要糟糕。例如,有的軟件錢包業者認為,錢包應用的安全性無須超出其所在系統的安全性,只要手機系統沒有被攻破,資產就是安全的;而如果系統被攻破,那么用什么手段都保護不了資產。為了提高用戶的體驗,許多錢包干脆把用戶的錢包種子或者私鑰明文存放在手機里面,給用戶的資產安全造成極大的潛在危險。

  日前,區塊鏈安全研究中心BSRC公布了一段針對某安卓版軟件錢包的攻擊視頻,該視頻顯示,攻擊者可以通過USB連接用戶手機直接獲得用戶的助記詞種子,并在本地破解后獲得用戶的十二個助記詞明文,從而進入用戶的賬戶。在這個攻擊案例中,如果錢包種子進行了哪怕是簡單的加密保護,攻擊也不會如此順利。

  為了用戶體驗而犧牲安全性,本質上是一種安全錯覺。從可用性的角度看,安全性和用戶體驗都是必不可少的,便利但不安全的加密錢包使得用戶資產面臨本不必要的風險,其可用性水平很低。

  因此,可攻擊性高的軟件錢包是黑客青睞的“攻擊”對象,而糟糕的、缺乏理論指導的、在總體可用性有限約束下犧牲安全性去照顧用戶體驗的設計,使得軟件錢包的安全性更是雪上加霜。這就是為什么會產生硬件錢包的需求。挖礦錢包開發。

       溫馨提示:大連仟源科技有限公司以“專注網站,用心服務”為核心價值,一切以用戶需求為中心,希望通過專業水平和不懈努力,重塑企業網絡形象,為企業產品推廣文化發展提供服務指導;公司主要產品:主要為企業提供游戲開發,手機APP開發,定制系統開發,區塊鏈系統開發,小程序開發,網站開發。

上一篇:錢包開發公司 下一篇:開發錢包系統
文章標簽:
文章評論:

專業的游戲開發/系統開發、品牌設計/網站建設,選仟源!

選擇專業的企業服務公司,服務更靠譜!

立即點擊咨詢>
客服圖標
客服圖標
118旺角心水论坛