楼主 | 收藏 | 举报 2018-07-18   浏览:56   回复:0

赵余:“彩虹表攻击”可以简单理解为“字典攻击”

赵余:“彩虹表攻击”可以简单理解为“字典攻击”
 
EOS LaoMao 的赵余在《宁话区块链》之全球EOS节点答疑的节目中称 “前两天发生的’彩虹表攻击’,是由于有些开发者通过设计的自定义助记词功能不完善。既没有过滤空字符串,也没有强制用户设置足够长的助记词。导致黑客可以通过简单的穷举,就能拿到部分账户的私钥。EOS 彩虹表攻击始末:EOS 官方库 eosjs-ecc(https://github.com/EOSIO/eosjs-ecc) 提供了一个自定义助记词生成密钥的接口。
 
有些开发者使用这个接口,做了一个用户可以自定义助记词的密钥生成工具。但是由于产品设计问题,具体问题是下面两个:1. 没有过滤空字符串;2. 没有强制要求用户自己填写的助记词的长度必须达到足够安全的长度(比如 12 个独立的单词作为助记词,就可以认为安全性很高了)。导致部分用户,使用了简单的字母或单词作为助记词生成了自己的私钥。比如 a, b, c, hello, world 等等。这就导致黑客可以轻而易举地“穷举”常见的单词,字母,以及单词组合,进而拿到用户私钥,最终转移用户资产。这个“穷举”的方法,一般也被称为“彩虹表”攻击。对于使用自定义助记词功能生成私钥的用户,建议自查助记词长度,确保助记词长度不少于 12 个单词。”


广告
打赏
更多> 同类电气商圈
更多> 最新资讯
陶瓷之家 | 油漆之家 | 照明之家 | 五金之家 | 防盗之家 | 区快洞察 | 卫浴之家 | 全景之家 | 家居联盟 | 建材之都 | 老姚之家 | 灯饰之家 | 电气之家 | 全景头条 | 照明之家 | 防水之家 | 防盗之家 | 区快洞察 | 双鸭山建材 | 鹤岗建材 | 鸡西建材 | 齐齐哈尔建材 | 太原建材 | 大同建材 | 阳泉建材 | 长治建材 | 晋城建材 | 朔州建材 | 晋中建材 | 运城建材 | 忻州建材 | 临汾建材 | 吕梁建材 | 雄安建材 |
建材 | 720全景 | 企业之家 | 关于我们  |  联系方式  |  使用协议  |  版权隐私  |  网站地图 | 排名推广 | 广告服务 | 积分换礼 | RSS订阅 | sitemap |
Powered by www.qk07.com