头条商圈
赵余:“彩虹表攻击”可以简单理解为“字典攻击”
回复:0  浏览:22
赵余:“彩虹表攻击”可以简单理解为“字典攻击”
 
EOS LaoMao 的赵余在《宁话区块链》之全球EOS节点答疑的节目中称 “前两天发生的’彩虹表攻击’,是由于有些开发者通过设计的自定义助记词功能不完善。既没有过滤空字符串,也没有强制用户设置足够长的助记词。导致黑客可以通过简单的穷举,就能拿到部分账户的私钥。EOS 彩虹表攻击始末:EOS 官方库 eosjs-ecc(https://github.com/EOSIO/eosjs-ecc) 提供了一个自定义助记词生成密钥的接口。
 
有些开发者使用这个接口,做了一个用户可以自定义助记词的密钥生成工具。但是由于产品设计问题,具体问题是下面两个:1. 没有过滤空字符串;2. 没有强制要求用户自己填写的助记词的长度必须达到足够安全的长度(比如 12 个独立的单词作为助记词,就可以认为安全性很高了)。导致部分用户,使用了简单的字母或单词作为助记词生成了自己的私钥。比如 a, b, c, hello, world 等等。这就导致黑客可以轻而易举地“穷举”常见的单词,字母,以及单词组合,进而拿到用户私钥,最终转移用户资产。这个“穷举”的方法,一般也被称为“彩虹表”攻击。对于使用自定义助记词功能生成私钥的用户,建议自查助记词长度,确保助记词长度不少于 12 个单词。”
更多»您可能感兴趣的话题:
更多»有关 的产品:
移动社区 吊顶之家 建材风水 木板之家 欧外网 园林头条 环保头条 净化头条 机械头条 幕墙之家 防盗之家 老姚之家 灯饰之家 电气之家 全景头条 陶瓷之家 照明之家 防水之家 防盗之家 博一建材 区快洞察 建材 保定建材 邢台建材 邯郸建材 唐山建材 通辽建材 赤峰建材 乌海建材 包头建材 建材之家 张家口建材 秦皇岛建材 呼和浩特建材 阿拉善建材 锡林郭勒建材 兴安盟建材 乌兰察布建材 巴彦淖尔建材 呼伦贝尔建材 鄂尔多斯建材
(c)2015-2017 BO-YI.COM SYSTEM All Rights Reserved