Pur și simplu memorarea unei fraze complexe permite oricărui utilizator să păstreze virtual milioane de dolari de numerar digital în cap, fără a fi nevoit să stocheze nici o înregistrare pe computer.
Cu toate acestea, se pare că mintea este un loc uimitor de vulnerabil și nu este dificil să găsiți cheia pentru activitățile cripte.
Într-un interviu, Castellucci a încercat să sublinieze că, deși instrumentul pe care la creat ar putea fi folosit de criminali, el a sperat că cercetarea sa îi va încuraja pe utilizatorii Bitcoin să caute metode de securitate mai bune pentru a-și proteja economiile.
Puteți să urlați de pe acoperișuri că cineva este slab și vulnerabil, dar mulți oameni vor nega totul fără a avea o dovadă clară a conceptului. Cred că conceptul care permite oamenilor să aleagă propriile parole și fraze pentru aplicații de înaltă performanță este o abordare fundamentală greșită a securității.
Începerea proiectului
Inspirat de acest exemplu, Castellucci a creat programul original de cracker Brainflayer, care ar putea emite 10.000 de parole, prevăzând toate variantele posibile.
Când sa întors la computerul pe care rulează programul, el a găsit 250 MTC deja scoase din punga altcuiva din cauza vulnerabilităților din tehnologia Brainwallet.
Castellucci a fost pus într-o situație dificilă. Avea două opțiuni - să ia mai multe BTC ca plată pentru cercetarea lor și să avertizeze utilizatorii portofelului că securitatea lor este în pericol sau să încerce să le contacteze folosind alte mijloace. În cele din urmă, el a reușit să contacteze proprietarul și să-l convingă să-și mute bomboanele într-un portofel mai sigur.
"Pentru un timp, tocmai am încetat să lucrez la cercetarea mea", a spus el. "Speram că problema ar dispărea, pentru că mulți experți au spus că" brainwallet "are multe vulnerabilități."
Atunci când problema nu a dispărut, el a decis să se întoarcă la cercetare, argumentând că era responsabilitatea lui de a dezvălui vulnerabilitatea, astfel încât utilizatorii să poată lua măsurile adecvate și să-și îmbunătățească nivelul de securitate.
Castellucci a scris recent pe blog:
Ideea este că, dacă cineva ca mine descoperă o greșeală, trebuie să facă ceva efort și să o investigheze înainte de a comunica comunității. Am făcut acest lucru în trecut și cred că aceasta este abordarea corectă.
Viitorul tehnologiei
El a sugerat, de asemenea, ca cei care folosesc brainwallet-ul, considera o implementare imbunatatita a acestei idei - WarpWallet.
Cu toate acestea, Castellucci îi sfătuiește pe cei care folosesc portofelele pe platforma pentru a aplica seturi de numere și simboluri aleatorii. Mai bine, utilizați programele diceware, procesul prin care parolele sunt create folosind o pereche de generatoare de numere aleatoare.
Este într-adevăr foarte dificil, pentru a împiedica oamenii să aleagă porecla câinelui și ziua de naștere ca parolă. Nici un script nu poate salva persoanele care folosesc "P @ ssw0rd". Mulți utilizatori au crezut că fraza lungă ca parolă este complet sigură. Cu toate acestea, am demonstrat că acest lucru nu este întotdeauna adevărat.
Castellucci nu a spus exact câte fraze cheie Brainflayer poate ghici pe un singur computer. Dar el subliniază că dacă programul său este lansat într-un botnet, atunci cifra se poate apropia de o sută de miliarde de fraze cheie pe secundă. Mai mult decât atât, el spune că programul PassPhrase este optimizat pentru sarcina de a genera rapid chei Bitcoin și de a scana blocul.
Pentru scanarea și verificarea cea mai eficientă a blocului, el a folosit o metodă cunoscută sub denumirea de filtru Bloom. Rezultatul său până în prezent nu ajunge la un trilion de fraze cheie pe secundă, așa cum a avertizat anterior Snowden, implicând realizările NSA. Cu toate acestea, acest lucru poate surprinde mulți oameni care cred că frazele lor cheie sunt sigure.
A pierdut și a găsit biroul
Întrebat cum intenționează să-și continue munca, Castellucci a spus că încă se află în proces de planificare a următoarelor studii. El lucrează la adăugarea de noi unelte în brainwallet, la fel ca în Brainflayer. Includerea este un mod care va scana cheile private "nepotrivite".
Dar până acum există mai multe întrebări decât răspunsuri:
Cine se va ocupa de astfel de vulnerabilități?
Și ce consecințe juridice pot apărea pentru hackerii albi care încearcă să prevină hacking-ul viitor?