Jaxx,Exodus,Coinomi 多幣錢包簡略心得 - 數位貨幣

By Jacob
at 2017-07-09T02:08
at 2017-07-09T02:08
Table of Contents
2019 update: 建議略過本文,時過境遷,有更多目前受信任的錢包
--
**關於安全性
先講結論,Exodus和Jaxx官方人員都直接講明了,請把此類錢包當作熱錢包使用
不建議存放大量資金。
Jaxx最近的爭議是,被發現客戶端保存本地BIP39短語即私鑰的方式,居然是硬式編碼加密
並不是以使用者自訂的PIN碼加密。
打個比方...你的錢包像是被一個統一規格的密碼鎖加密,
這在取得檔案的駭客眼前等於完全沒有加密!
CTO對此給出的解釋是:
1.如果你的電腦被駭客攻破,他可以記錄你的一切行為,意思是,密碼沒有卵用
2.在你的零錢包掛上機車大鎖、再加一層密碼鎖、然後再套一串指紋鎖是沒有意義的
我們的錢包設計是以降低掏出零錢的困難度為優先,你不會想用上面這麼蠢的錢包裝零錢
3.PIN碼的用處是防止你上廁所時室友偷看你的私鑰,懂?
隨後,大家發現4位數Pin碼只是UI層級的密碼鎖,根本和私鑰無關
經過質疑者指出,其實CTO的解釋迴避了一個重點
就是設計成「4位數字」的PIN碼,嘗試次數只要10000(10^4)次以內就能暴力破解
因此就算採用使用者自訂的PIN碼加密本地私鑰,效力等同現行的硬式編碼,
都是防君子不防小人啦!
(而這個問題,質疑方的說法是,在沒有root的手機上並不算太嚴重,
因為app彼此之間是運行在沙盒狀態,當然你手機整台掉了是另一回事)
簡而言之,癥結點在於Jaxx並不打算讓用戶自訂英數混雜的"強密碼"
因為這會妨礙他們的理念:簡單、低摩擦、好使用的零錢包!
Exodus方面,由於一開始就是鎖定桌面客戶端,所以讓使用者自訂自己錢包的密碼
並用此來加密本地檔案,自然沒有Jaxx的爭議。
但是,Exodus的額外備份方式是這樣運作的:
1.用戶需要往錢包任一幣存一點錢,使其不為0 (官方解釋為了防止第4步的後臺資源濫用)
2.任一地址入帳後,錢包才會顯示BIP39短語讓你抄下
3.輸入自訂密碼,和自訂email
4.系統會往你的email寄出一封使用自訂密碼加密後的還原用密語,
以後需要還原錢包可以點選email的密語,輸入自訂密碼即可還原
避免了BIP39短語手抄不在身邊的窘境
方便是很方便,但閉源客戶端這樣設計就存在風險了
1.需要存錢才顯示BIP39短語,意思是,如果開發者有意限縮生成範圍
骰子一旦不公正,即可很容易撞破使用中的帳戶!
這種防止後臺資源濫用的理由,可能可以推延這類後門曝光時間
你得十分信賴Exodus官方是正人君子
2.輸入自訂密碼後會由後台寄信到指定信箱,這封信包含了「加密後的BIP39短語」
其實就像把加密的本地私鑰檔放在信箱是同樣道理
如果使用者沒有這層認知,密碼隨便設置
又放在一個沒有2FA、強密碼保護的電子信箱,那很顯然會是一場災難
而且透過後台流出去,後台的安全性又是一個額外的風險
結論:
Exodus官方同樣給擔心大筆資產風險的客戶類似於Jaxx CTO的回應
就是:當駭客掌握了你的電腦,你設幾道鎖都會被側錄,請使用硬錢包。
不過在我看來,Jaxx若開放強密碼做為選項保護私鑰,安全等級還是不同的
Jaxx從本地檔案提取私鑰的方法已經被公開在網路上
官方那套「PIN只是防止上廁所室友偷看私鑰」根本不成立
把私鑰檔co回去慢慢破解只是轉眼的事,就算沒駭客底子,踹門最多一萬次就開了好唄!
--
Tags:
數位貨幣
All Comments

By Agatha
at 2017-07-13T20:54
at 2017-07-13T20:54

By Iris
at 2017-07-17T03:12
at 2017-07-17T03:12

By Doris
at 2017-07-20T16:28
at 2017-07-20T16:28

By Franklin
at 2017-07-22T04:04
at 2017-07-22T04:04

By Genevieve
at 2017-07-23T10:19
at 2017-07-23T10:19

By Candice
at 2017-07-27T16:27
at 2017-07-27T16:27

By Dinah
at 2017-07-28T14:00
at 2017-07-28T14:00

By Emily
at 2017-08-01T06:34
at 2017-08-01T06:34

By Ophelia
at 2017-08-05T02:21
at 2017-08-05T02:21

By Doris
at 2017-08-05T21:20
at 2017-08-05T21:20

By Andrew
at 2017-08-06T17:17
at 2017-08-06T17:17

By Enid
at 2017-08-09T17:33
at 2017-08-09T17:33

By Rachel
at 2017-08-11T10:56
at 2017-08-11T10:56
Related Posts
請問挖礦時網路傳輸速率的最低要求

By Rachel
at 2017-07-08T23:15
at 2017-07-08T23:15
Jaxx手機錢包異常

By Isla
at 2017-07-08T13:41
at 2017-07-08T13:41
礦機第四張卡開始無法開機

By George
at 2017-07-08T08:45
at 2017-07-08T08:45
BITPoint 在台灣開虛擬貨幣交易所!

By Daniel
at 2017-07-08T03:03
at 2017-07-08T03:03
n卡+a卡雙挖問題

By Rosalind
at 2017-07-07T05:09
at 2017-07-07T05:09