買比特幣 買比特幣
Ctrl+D 買比特幣
ads

POT:數據泄漏 硬件冷錢與軟件冷錢包誰更安全_Spots2

Author:

Time:1900/1/1 0:00:00

這兩天硬件冷錢包廠商 Ledger 的用戶數據泄漏事件鬧的沸沸揚揚。我看了一下泄漏數據,我的名字和信息也赫然在列!很顯然,數據泄漏對用戶造成了利益侵害,然而我覺得更加值得探討是硬件錢包方向的問題。

之前,我也使用 Ledger。后來,因為看到硬件冷錢包的種種缺點,以及軟件冷錢包的興起,才毅然決定做 Ownbit 軟件冷錢包。

軟件冷錢包

不同于硬件冷錢包,軟件冷錢包使用純軟件的方式實現冷錢包功能。用戶需要使用兩部手機,其中一部永久離線,作為冷錢包存儲私鑰(助記詞)。另一部聯網,作為觀察錢包使用。

軟件冷錢包和硬件冷錢包實現同樣的功能,安全級別類似。但是它們有一些顯著的區別:

加密貨幣金融機構BlockFi供應商Hubspot發生數據泄露:3月19日消息,加密貨幣金融機構BlockFi確認其第三方供應商之一Hubspot發生了數據泄露事件。Hubspot存儲了用戶數據,如姓名、電子郵件地址和電話號碼。

根據公告,黑客在3月18日星期五獲得了BlockFi的客戶數據,這些數據存儲在Hubspot這個客戶關系管理平臺上。\"Hubspot已經證實,一個未經授權的第三方獲得了存放在其平臺上的某些BlockFi客戶數據。\"

在撰寫本報告時,BlockFi正在支持Hubspot的調查,以明確數據泄露的整體影響。雖然被破壞的數據的確切細節尚未被確定和披露,但BlockFi通過強調個人數據,包括密碼、政府頒發的身份證和社會安全號碼,從未存儲在Hubspot上。(Cointelegraph)[2022/3/19 14:06:22]

軟件冷錢包可以使用閑置手機,沒有額外的硬件;

日本加密貨幣交易所Coincheck確認出現數據泄露:日本加密貨幣交易所Coincheck周二宣布遭遇數據泄露,可能泄露了用戶的電子郵件和個人信息。

Coincheck表示,這些信息包括姓名、注冊地址、出生日期、電話號碼和selfie ID。從5月31日至6月1日,約有200名客戶因郵件查詢受到影響。目前,客戶資產未受影響。

注:2018年1月,Coincheck曾遭遇黑客攻擊,丟失近5億美元的新經幣(XEM)。(The Block)[2020/6/3]

硬件冷錢包通過數據線或藍牙傳輸數據,而軟件冷錢包通過掃描二維碼;

可信任的助記詞

軟件冷錢包可以實現更徹底的去信任(即不需要信任軟件開發者),用戶可以自行證明其錢包的絕對安全性。

微博回應數據泄露:及時加強了安全策略:此前有微博用戶稱,手機號碼泄露了,根據微博賬號就能查到手機號。對此,微博方面回應稱,“此次非法調用微博接口匹配出的信息為微博賬號昵稱,不涉及身份證、密碼,對微博服務沒有影響。發現異常后,我們及時加強了安全策略,今后還將不斷強化。”[2020/3/19]

在資產安全中,首當其沖的是助記詞的安全。而在助記詞的安全中,首要確認是助記詞生成的隨機性。如果您使用了一個作惡的硬件廠商(或者有bug)的硬件錢包,您可能在第一步就已經陷落了。因為您拿到的助記詞可能不是隨機的,是預先生成的,或者是假隨機的。

硬件冷錢包無法向用戶證明在這點上它們是安全的。我們繼續使用硬件錢包是基于對該硬件廠商的信任,而這點在數字貨幣的世界里是脆弱的。軟件冷錢包卻能給出證明。

中鐵總回應12306數據泄漏傳言:未發生用戶信息泄漏:6月13日下午,網傳“2016年至2018年3月的3000萬條12306數據”被泄露,其中包括“手機號、密碼、支付密碼、姓名、身份證號碼、答案”等內容,傳言在暗網售價10個比特幣。(目前一個比特幣的價格超過4萬元人民幣。)中鐵總方面回應稱,經核查,該網站未發生用戶信息泄漏,網傳信息與鐵路12306網站無關。為確保個人信息安全,鐵路部門提醒廣大旅客,請通過鐵路12306官方網站和“鐵路12306”客戶端購票,避免非正常渠道購票帶來的風險。[2018/6/14]

在使用軟件冷錢包時,你可選擇信任軟件,讓其幫助您生成助記詞。也可以選擇不信任軟件,自行在它處生成助記詞。然后通過離線導入的方式生成冷錢包。因為冷錢包的設備是永久離線,不存在向互聯網傳輸數據的可能(唯一的交互是通過二維碼掃描和觀察錢包之間進行明文傳輸,可審查),所以助記詞的安全性得到了絕對的保障。

因此,軟件冷錢包的助記詞的安全性高于硬件冷錢包。

藍牙 vs 二維碼傳輸

硬件冷錢包和軟件冷錢包在數據傳輸上的方式差別也非常大。一般而言,硬件錢包通過藍牙與手機軟件相連接。而軟件冷錢包則是通過二維碼掃描進行數據傳輸。

藍牙傳輸方案的優點是:數據量大小不受限制。而這正是二維碼傳輸的缺點。因為一張二維碼所能包含的信息有限,對于有較大數據傳輸的場景,該缺點顯得尤為突出。例如:較大的比特幣交易(UTXO數量龐大)。

藍牙傳輸方案的缺點是:安全性低于二維碼傳輸。其安全性弱主要來自于兩個方面。一方面是不同的藍牙協議版本可能存在已知或未知的bug,在特定場景下,可能存在安全隱患。另一點是,藍牙傳輸方案留下了被其他設備干擾攻擊的可能。在短距離范圍內(10米內),通過其他藍牙設備進行針對性的干擾或攻擊。而這點在二維碼傳輸的方案里,是完全不存在的。

藍牙傳輸的另一個弱點是:可審計性差。而這點也是二維碼傳輸的一個巨大優勢。用戶可以明文查看所有通過二維碼傳輸的內容,以確認任何傳輸的信息都是安全的。這點可以讓軟件冷錢包方案提供商實現去信任,即用戶可以在數據傳輸層面確保其私鑰(助記詞)不受泄漏,而不用去信任該方案的提供商或開發人員、甚至不用擔心軟件本身可能存在的bug。

經濟性和靈活性

軟件冷錢包可以使用閑置的手機作為冷錢包存儲,而無需購買額外的硬件。因此更加經濟。

更重要的是,軟件冷錢包比硬件冷錢包更加靈活。通常軟件冷錢包可以實現比硬件冷錢包更加復雜的功能,例如:多簽冷錢包。

軟件冷錢包的靈活性,也讓其在資產的恢復方面也更加有優勢。如果您的硬件錢包損壞,需要購買(同一廠商)的硬件,進行硬件恢復。而使用軟件冷錢包,則沒有這樣的顧慮。

封閉和開放

軟件冷錢包比硬件冷錢包更加開放。通過二維碼傳輸數據的方式,可以在更廣泛的范圍內定義標準,實現不同軟件冷錢包廠商之間的互聯互通。而通過數據線或藍牙傳輸的方式卻無法實現這一點。

兩種方案的錢包生態

目前市場上,雖然主要的冷錢包產品依然是以硬件冷錢包為主,但是它們正在受到軟件冷錢包的沖擊。

硬件冷錢包:

Ledger 是最知名的硬件冷錢包方案提供商;

Trezor 是另一個知名的硬件冷錢包提供商;

軟件冷錢包:

Ownbit 是最早實現軟件冷錢包方案的錢包,也是支持冷錢包幣種最多的錢包之一;

Parity Signer 是 Parity 出品的以太坊軟件冷錢包;

未來

事物發展的方向永遠是化繁為簡。越來越多的冷錢包正在以軟件的方式實現。

就像大部分人不需要額外的硬件來進行閱讀(電子書),因為手機本身也可以進行閱讀。用更加常見的設備(手機)來替代專業的硬件是必然的趨勢!因為它們在功能上類似,甚至更加優秀!

原標題:硬件冷錢包向左,軟件冷錢包向右

Tags:BLOBLOCPOTSPOTLucky BlockAirblocPOTOSpots2

POL幣最新價格
穩定幣:視頻 | 幣圈2020迷惑行為大賞:傷害性不大 侮辱性極強_EMI

寫在前面:心急的朋友可以直接拉到視頻最后,這個獎,非你莫屬! 觀眾朋友們 我們是張姨楊姨 這里是bbtv 2020年度頒獎典禮的現場減半載著幸福來.

1900/1/1 0:00:00
TEL:德國BVDH銀行在Stellar上推出歐元穩定幣_穩定幣

德國Bankhaus von der Heydt銀行(BVDH)已在Stellar網絡上推出一種歐元穩定幣。該銀行聲稱,EURB是由銀行機構發行的第一種穩定幣.

1900/1/1 0:00:00
區塊鏈:金色DeFi日報 | Aave V2治理將分離提案權和投票權_DEFI

DeFi數據 1.DeFi總市值:173.15億美元 市值前十幣種漲跌幅,金色財經制圖,數據來源Coingecko2.過去24小時去中心化交易所的交易量:5.0億美元分析 | 金色盤面:LTC/.

1900/1/1 0:00:00
KEX:12.25午間行情:強勢反彈后風險頻現_有多少人被okex被騙過

主流幣的這波幣災力度非常大,一些幣種整體跌幅都超過了百分之三十,這么大的力度比特幣依然堅挺并沒有被帶下去,真的是潮水褪去才能發現珍珠,ETH.LTC經住了考驗,是妥妥的可長期持有幣種.

1900/1/1 0:00:00
TTE:金色前哨|Uniswap推出治理工具Sybil_TWI

金色財經訊,據uniswap官方消息,Uniswap推出了治理工具Sybil,據介紹,Sybil是一種用于發現代表的治理工具.

1900/1/1 0:00:00
INC:金色說明書|如何在1inch進行流動性挖礦?_INCNT幣

金色財經報道,12月26日上午,去中心化交易聚合平臺1inch官方發推更新初始1INCH代幣流動性挖礦計劃。流動性挖礦將于UTC時間12月26日12時(北京時間12月26日20時)開始.

1900/1/1 0:00:00
ads