一洼田
将数字资产的私钥存储在云端并不安全,主要原因有两个。首先,云端供应商是中心化运作的,会遭遇安全漏洞,从而导致网络罪犯可以访问个人隐私数据。例如,在2018年8月,有男子因侵入苹果iCloud私人账户并泄露Jennifer Lawrence、Kirsten Dunst、Mary Elizabeth Winstead等人的裸照而在美国被判入狱。这类事情确实发生过,并且未来还可能还会发生。
其次,用户可能会落入网络钓鱼骗局的圈套。网络钓鱼是一种社会工程的手段,网络犯罪分子利用这种技术诱骗人们将个人身份证件交给一个仿冒的网站,而这个网站的设计看起来和一个合法的网站非常相似。
Adrian在工作和生活中经常使用Mac电脑和iPhone。他用iCloud存储文件。Andrian是一个非常谨慎的人——他喜欢确保他所有的文件都定期备份到云中,并在他的计算机和移动设备上同步。他认为,iCloud是安全的——因为它拥有最先进的安全技术,并且由苹果公司维护。Andrian在iCloud上的云数据可能比其他移动设备上的数据更安全。在日常生活中,不排除他随时都有可能弄丢手机,或者把手机掉进水里的可能性。
艾德里安喜欢交易数字资产。他是Coinbase的用户。与其他交易所相比,他更喜欢Coinbase,因为它们的服务对主流用户更加友好。和其他人一样,Andrian喜欢便捷性。安全之外,他很重视便捷度。
2019年2月12日,Coinbase发了一个公告,像Andrian这样的用户现在可以“用Coinbase钱包在谷歌Drive和iCloud上备份加密的私钥”。
Coinbase告诉用户:
从今天开始,你可以使用Google Drive或 iCloud,将Coinbase钱包的加密过的密钥备份到个人云存储账户。
这项新功能为用户提供了安全保障,帮助他们避免在丢失设备或丢失私钥时丢失资金。
Adrian是个大忙人,所以他没有时间读完Coinbase的Medium帖子。他一般习惯简单浏览。币大师是他从阅读这篇帖子中获取的信息:
“现在可以使用谷歌Drive或iCloud将Coinbase钱包的私钥备份到个人云存储帐户。”
两段话又有何不同?有些人实际上需要重读这两段来找出区别。
Andrian忽略了Coinbase信息中最重要的关键词——“加密过”的密钥。
某个周日的下午,Andrian收到苹果公司发来的一封电子邮件,邮件称会给他一款新iPhone的特价优惠。正如从苹果公司收到的邮件那样,它设计得很好,没有拼写错误或语法错误。哪怕是大多数经过反钓鱼培训的人都会上当受骗。
Andrian确实质疑过邮件的真实性。但他检查了这封邮件,确认它确实来自苹果公司。
当打开链接时,他被要求使用账户信息,以确认他有资格获得特别优惠。于是,他登录了网站。或者至少他尝试过。输入密码后,页面一直出错。他放弃了尝试,也懒得去检查页面是否有问题。
不知不觉中,他就中了网络钓鱼的圈套。他在iTunes上的个人信息就此泄露。Andrian与大多数人一样:他的iCloud账户使用相同的用户名和密码,因为这很方便,也很容易记。但这也是问题关键所在。
Vlad是一名网络罪犯,他是给Andrian发送网络钓鱼邮件的人。他现在可以访问Adrian的私钥。历史正在重演。这种社会工程的策略还有更多的步骤,但对于Vlad来说,收集完成抢劫所需的所有其他信息仍然相当容易。
在过去的两年中,我为数十位高管提供过咨询,其中包括一些区块链公司的创始人。在为他们提供网络安全最佳实践建议时,我了解到,无论一个人在网络安全方面多么知情,他们都很容易落入一个复杂的网络钓鱼骗局。
直到我进一步调查之后,我才知道上面那封与苹果相似的邮件是假的。我而大多数人不会调查以确保这是一个合法的电子邮件。他们会打开链接,登录他们认为是苹果公司的网站,然后一瞬间——他们的密码就被窃取了。
180万美元——是美国一家中型公司遭受网络钓鱼攻击的平均成本
64亿-是每天发送的欺骗信息数量
30% -是员工打开钓鱼邮件的百分比
136%——2016年至2018年因网络诈骗而导致的损失比例
资料来源: 2018年8月8日发表的Osterman研究白皮书
Andrian还会在iCloud上存储什么?几乎他的一切信息!
我个人不建议在云端中存储任何像私钥那样的东西,即使它们是加密的。
然而,对于Coinbase这样的知名公司来说,向客户提出这样的建议是不可取的。他们决定将便利度置于安全之上,这让我非常吃惊。
我强烈建议Coinbase撤销他们的公告。如果Andrian决定将未加密的私钥存储在iCloud上(尽管有人建议他这样存储加密密钥),交易所会受到指责吗? 我认为应该要。我通过电报、Twitter和电子邮件收到了社区成员发来的信息,他们都认可我的建议。
考虑到人们的自身理解各有不同,现在很有可能一些客户会曲解Coinbase给他们的建议。在这种情况下,如果Megan问Andrian关于讲解存储她的密码的一些建议,Andrian会说,如Coinbase建议,iCloud是一个存放私钥的安全场所,所以它肯定对存放密码而言是安全的。因此,他会建议Megan将用户名和密码保存在iCloud账户中。
在网络安全尚未成为区块链的发展重心,利益相关方尚未更加认真对待这件事之前,区块链技术的实现和通证模型的大规模应用还会需要更长的时间。
原文链接:https://bitcoinmagazine.com/articles/op-ed-why-its-unsafe-to-store-private-crypto-keys-in-the-cloud/
免责声明: 文章源于会员发布,不作为任何投资建议,如有侵权请联系我们删除!
