只需发送一封电子邮件即可破解被遗忘一半的加密密码

中国邮箱网9月17日电 Phil Dougherty作为一名友善的黑客，忙碌而忙碌。 白天，他是威斯康星大学的一名软件开发人员，开发免费的教育游戏并研究人们如何玩这些游戏。 与此同时，在家乡，Dougherty 是一个不断危害他人加密货币钱包的程序的负责人。

Dougherty 与丢失、忘记或记错以太坊密码的人合作，将自己锁在钱包之外并没收隐藏在其中的数字现金。 这些人基本上是倒霉的。 以太坊没有客户支持热线，没有需要回答的安全问题，也没有“忘记密码？” 关联。

加密货币的安全性依赖于散列算法，该算法将传统密码（如“banana$123”）转换为一个独特的数字和字母串，称为散列。 具体来说，以太坊钱包使用基于密码的密钥派生，这意味着用户输入他们可以（理论上）记住的唯一密码，作为回报，他们会收到一个作为唯一安全授权码的密码。 钥匙。 这个想法是不可能对哈希进行逆向工程来解锁用户的基本密码，尽管多年来已经破解了一些算法，包括 MD5 和 SHA1。 然而，正如 Dougherty 的客户发现的那样，以太坊的安全系统非常严密。

“有了以太坊，因为它是去中心化的，你实际上是在自己的电脑上做所有这些，甚至不需要接触互联网，”多尔蒂告诉 Engadget。 “你说以太坊钱包密钥忘了，我正在创建一个密码为‘banana’的钱包，它变成了一把钥匙。由于没有公司界面，如果你忘记了密码，没有人可以帮你重设密码。所以我想，解决唯一的办法这个问题是找到聪明的方法来尝试使用相同的散列来重现复杂的输出。”

本质上，您是在进行网络钓鱼。 在网络钓鱼攻击中，黑客试图在未经他人同意的情况下收集有关某人的信息，通常是通过受感染的电子邮件链接和官方表格。 以太坊的安全协议在技术层面上可能是可靠的，但它们无法阻止有人通过询问所有者密码或诱骗他们删除线程来欺骗密码。

只是，多尔蒂并没有在愚弄任何人。 人们来找他，并乐于回答有关他们的密码习惯的个人问题。 他们通常将字母大写还是将它们变成数字？ 他们会使用自己的出生年份、最喜欢的地点或特殊符号吗？

“也许，你不是选择你最喜欢的城市以太坊钱包密钥忘了，而是选择你最喜欢的电影或演员或你的名字，或者类似的东西，”多尔蒂说。 “通过电子邮件，我只是来回询问这个人，并帮助按摩它，而不是点击他们来分解为什么他们认为他们的密码可能是，”他说。

Dougherty 然后混合使用了密码破解软件 hashcat 和他构建的一个名为 expandpass 的程序，该程序通过特定单词和符号的变体，以受控的排列，但规模很大。 在 GitHub 上，他将 expandpass 描述为“对于破解你记得的密码很有用”。

这些程序是免费和开放的，但大多数人不具备使用它们的硬件或编程专业知识。 Dougherty 恰好具备工作知识，他的装备很重要：它运行的是 1080 Ti 显卡，配备 16 核 CPU 和 64GB 内存。 破解密码可能需要几个月的时间。

如果他成功了，客户就会付钱给他。 当然，在以太坊上。 然而，有时候，Dougherty 在几个月后关闭了一个项目，然后找到了正确的密码，然后他和客户分道扬.. 他并不称之为失败。

“没有失败的状态，对吧？” 他说。 “我可以无限期地尝试任何事情。这更像是一种放弃状态，不再值得我花时间或时间继续迭代以保持我的 hack rig 运行。因为它确实会耗尽电力。所以，有一个有趣的谈判正在发生。”

2017 年，Dougherty 开始破解密码，此前他在 Reddit 上阅读了一篇有人想要破解自己的以太坊钱包的帖子。 Redditor 记住了他们的部分密码，通常是密码的样子，然后交给 Dougherty 一个非常适合他的人际编码技巧的谜题。 他和其他五位程序员最终竞相破解了这个用户的密码。 多尔蒂赢了。

“我成功地解锁了那个人的密码，从那篇文章中我开始得到，'等等，嘿，你能帮我解决这个问题吗？'”多尔蒂说。 “事情从那里有机地发展起来。”

从网络钓鱼者的角度来看，加密货币看起来有点复杂。 从这个角度来看，当人类更具可预测性时，技术协议的稳健性并不重要。 Dougherty 遇到了一些常见的、固有的人工加密密码怪癖，这些怪癖也是潜在的安全风险。 例如，许多人使用与密码实际功能相关的词，例如“ethereum”或“wallet”。

“我会说超过 90% 的人使用他们的出生年份或他们出生年份的最后两位数，”Dougherty 说。 “另一件有趣的事情是，有一个使用加密货币的人群，所以他们往往都是同时出生的。 年份是一个非常狭窄的范围，这就像是出于安全考虑。 知道这是否不足以闯入或任何东西，但这是一个开始。”

幸运的是，Dougherty 正在充分利用这些知识。 他通常与以太坊合作，但他的方法应该以同样的方式应用于其他钱包和半忘记密码场景。 随着可能改变游戏规则的加密货币的出现，例如 Facebook 的 Libra，Dougherty 的服务应该会有很高的需求。 至少，直到扎克伯格和朋友们自己涉足加密货币客户服务业务。

“实际上，它特别罕见的是它是协作和共识，”他说。 “因为加密货币太新了，我认为这是第一次让一个人站在我的立场上，我可以与客户一起得出这些结论。”