谈NXT的账户密码安全
时间:2014-08-17 来源:http://wiki.nxtcrypto.org 作者:不详
对于您的Nxt账户来说,安全性是非常重要的。因此,在您创建Nxt账户之前,您有必要对以下的这些概念有所了解。 下载一个安全的客户端程序 当开发团队发布新版客户端的时候,同时也会公布客户端文件的“SHA256哈希值”,作为文件的“数字签名”。每一个不同的新版程序的签名是不一样的,并且这个签名是由核心的开发程序计算的。即便是软件中有一个字节发生了改变或被篡改,数字签名都会完全不同。因为Nxt是开源的,所以恶意的攻击者很容易制造包含有后门和攻击程序的“木马”客户端。(因此,在下载客户端时一定要验证数字签名是否一致) 当您下载了软件之后,您应当通过SHA256工具生成下载的文件的SHA256哈希值,并且检查是否和我们开发团队所公布的是一致的。当前版本的客户端的SHA256值可以在这个帖子中靠下边的部分找到:点这里 如果您之前从来没有计算过SHA256,可以参照如下方法: 在Windows上,最简单的方法是使用在线的计算工具:http://hash.online-convert.com/sha256-generator 在Mac OS X上,可以在终端窗口中使用openssl命令来计算SHA256(终端窗口在/Applications/Utilities下)。openssl命令大概长这样儿:openssl sha256 [FILE_NAME] 在GNU/Linux上,sha256sum是大多数都有的标准程序,在终端窗口中使用sha256sum的方法如下:sha256sum [FILE_NAME] 不太好的密码 因为所有的Nxt账户都是存储在网络上的,因此在理论上,任何人都有机会使用“暴力破解”的方法访问到您的Nxt账号。黑客们会使用穷举密码的工具进行系统性的尝试,目的就是碰运气试出你的密码,然后直接接触你的资产。现在,因为有了彩虹表(Rainbow Tables)的存在,使得他们可以直接从预先破解的密码表中优先尝试人们常用的密码,于是相对来说,黑客破解密码的变得更加轻松了。 人类是习惯性的生物。我们总是使用同样的一类密码,或者是使用同类的密码生成机制。相当大部分的人类并不会选择好的密码,而且相当数量的人们甚至使用“一样的”密码。如果您使用的密码出现在10,000个最常见的密码排行榜中,您几乎一定会被盗号 系统访问权限 如果说没有任何方法去接触到密码所解锁的那个东西,那么密码就没有可能被破解,破解也是无意义的:比如,您把电脑锁在保险柜里,并且没有任何网络连接,那么您的Windows账户密码就可以非常的简单,因为除非有人砸开保险柜,那么他们甚至连尝试进入您的Windows账户的机会都没有。 然而Nxt是不用的,因为在任何地方都能够访问它 Nxt使用的是大脑钱包(网络钱包),这意味着所有的账号都是存在网络上的。任何时间任何地点,运行Nxt软件的人都可以输入密码并且默默地获得账户的访问权。于是乎,您最好选一个非常好的密码,不然您都不知道是怎么被盗的 我们建议您 绝不 从 "公共节点" (可以在互联网上直接访问的Nxt 服务器)上输入密码进行登录。 恶意软件 互联网上到处都是“恶意软件”,并且可能随时感染你的电脑,读取您硬盘上的文件,记录您的键盘输入,等等。即便是您设置了一个非常复杂的密码,但是却把它保存在电脑桌面的文本文件中,或者是用邮件发给了自己, 那么您还是会被盗! 如果您没有最新的杀毒或者安全软件,或者只是偶尔检查是否存在键盘幽灵程序,那么您还是会被盗! 我们已经重复了很多次,但是我们还是希望您能够理解:安全绝对是在创建Nxt账户时,您必须要考虑的首要问题 什么是“好”的密码 好的密码符合以下的特征: 完全随机的 :好的密码不包含任何语言中的单词,并且,类似于把i换成1,e换成3,或者是在结尾添加个!之类的"小把戏" 不在此列,因为大家都会这么做。如果您的密码不是完全随机的,您就有可能被盗 好长好长的':SANS Institute公布了一份东东,用来估算,"暴力破解"不同长度的密码所需要的时间。一些分析表明,如果密码超过了15个字符以上,那么将会更加安全。如果您的密码短于30字符,Nxt软件将会给您一个警告信息。我们建议您使用50-70字符长的完全随机的密码 。如果您的密码不足30字符长,那么您估计要被盗 创建好密码 电脑在随机这方面比人好多了,不过,电脑同时也是基于“逻辑”的,因此它也并不能做到完全随机。谢天谢地,有一些工具能起到帮助作用: Defuse.ca离线密码生成器 是一个可以下载到本地的工具,支持Windows和Linux,可以用来生成密码学意义上强壮的,非常随机的密码 Mac OS 自带一个内置的密码生成器,可以用来生成最多30位的密码。如果您使用它的话,请将类型设为“随机” 还有一些在线的密码生成器,但是我们不把它们列在此处。这些在线的生成器大多数使用JavaScript编写,并且用Math.random()生成伪随机数。不然的话,它们就会在服务器生成密码,这样的话您就必须有足够的理由信任这个开发者。最坏的情况下,它们甚至连SSL都不用儿直接明文发送生成的密码。虽然说这些工具并不算可怕,但是任何在线的工具都有可能被泄露或者截获,并且我们希望在您的意识中建立对安全的执着感。使用在线密码生成器的选择权和风险性都在于您自己。 保存密码 拥有世界上最安全的密码是一件震古烁今的事情,但是如果您不能使用或者不能保存它,那么再好的密码也毫无用处。再次谢天谢地,有一些工具能够为您提供一些帮助: 免费的密码保存工具,比如KeePass,可以让您在自己的电脑上生成一个加密的文件,用作保存密码的"仓库"。虽然KeePass文件本身也是通过密码加密保护的,但是额外的安全层保护使得破解您的密码变得非常困难。您可以将您的Nxt密码保存在KeePass里,并且在您需要的时候解锁KeePass,然后复制粘贴您的Nxt密码,解锁您的Nxt账户。KeePass同时还自带一个密码生成器(可生成50字符,任意字符集的密码)。 其他商业化的密码管理器,比如:1Password。您可以选一个您喜欢的使用。大部分这样的软件都自带密码生成器。或许这是一项值得的投资。 冷存储(离线存储)。比如,您可以将密码写在一张纸上,并且将其放在一个安全的保险箱中。如果您的账户并不计划每天使用,那么或许这么做还有些意义。不过话说回来,要说到安全性,这可能是最好的方法了。 |