Slik låser du opp de halvt glemte kryptopassordene

Cryptocurrency-sikkerhet skjuler brukerpassord via hash-algoritmer som endrer et normalt passord til en unik streng med tall og bokstaver, kalt en hasj. For eksempel bruker Ethereum lommebøker en passordbasert nøkkelavledningsfunksjon, noe som betyr at brukere legger inn et unikt passord de kan huske, og til gjengjeld får de en nøkkel som fungerer som en unik, tilnærmet uopprettelig autorisasjonskode. Bare et lite antall algoritmer har blitt kompromittert gjennom årene, for eksempel MD5 og SHA1.

"Med Ethereum, fordi det er desentralisert, gjør du faktisk alt dette på din egen datamaskin og det berører ikke engang internett. Du sier, jeg lager en lommebok med passordet 'banana', og det blir til dette rotet av og fordi det ikke er noe firma-grensesnitt, er det ingen som kan hjelpe deg med å tilbakestille passordet hvis du glemmer det. Så den eneste måten å løse dette problemet, antar jeg, er å finne smarte måter å prøve å bruke den samme hasjen til å prøve og reproduserer det kompliserte resultatet, "sa Phil Dougherty, programvareutvikler ved University of Wisconsin.

Slik tilbakestiller du det tapte Ethereum-passordet.

I utgangspunktet går du på phishing. Under et phishing-angrep forsøker en hacker å samle informasjon om deres mål uten deres viten og samtykke, vanligvis gjennom kompromitterte e-postkoblinger og offisielle skjemaer. Ethereums sikkerhetsprotokoller er ganske sterke på teknisk nivå, men de kan ikke hindre en person i å finne ut et passord bare ved å spørre eieren hva det er, eller lure dem til å gi det opp.

Den skremmende delen er at ofrene villig svarer på personlige spørsmål om deres sikkerhet. Gjør de store bokstaver eller endrer de til tall? Bruker de fødselsåret, en favorittfilm eller sang? Hva med spesielle symboler?

"Kanskje, i stedet for å velge favorittbyen din, valgte du favorittfilmen din, skuespilleren eller navnet ditt, eller noe sånt. Over e-post ber jeg bare gjentatte ganger personen og hjelper til med å massere den ut av dem der den ikke klikker, for å bryte sammen hvorfor de tingene de tror passordet deres kan være, er, " kommenterte Dougherty ..

Når Phil har den kunnskapen, kan han deretter bruke en blanding av passordsprekkerprogramvaren hashcat og et program han bygde, kalt expandpass, som går gjennom forskjellige, kontrollerte permutasjoner av spesifikke ord og symboler, men i ekstremt stor skala. På den måten kan han knekke passord med bare biter og informasjon.

Stort sett hvem som helst kan få disse appene, men ikke alle kan bruke dem effektivt. Det krever en kombinasjon av dyktighet og maskinvare for å utnytte dem godt. Du trenger mye RAM og en kraftig CPU for å knekke passord, og selv da vil det ta betydelig tid. Uker til måneder, avhengig av passord og data du har.

Så hvis du har tålmodighet, litt kunnskap, nødvendig maskinvare og i det minste litt informasjon om det tapte Ethereum-passordet ditt, kan du potensielt knekke det med hashcat Doughertys expandpass-app.