你只需要发送一封电子邮件就可以破解一个被遗忘了一半的加密密码

大家好，我是本栏目的编辑郝帅。现在我给大家解释一下上面的问题。作为一个友好的黑客，菲尔多尔蒂很吵。白天，他是威斯康星大学的软件开发人员，负责设置免费的教育游戏，研究人们玩游戏的方式。与此同时，在国内，多尔蒂是一个程序的牧羊人，这个程序不断破坏别人的加密货币钱包。

多尔蒂与那些丢失、忘记或错误地写下他们的以太网密码的人一起工作，把自己锁在钱包外面，没收藏在里面的数字现金。这些人基本都是倒霉。Ethereum没有客户支持热线，没有需要回答的安全问题，也没有“忘记密码？”链接。

密码货币的安全性依赖于哈希算法，该算法将传统密码(如“香蕉$123”)转换为由数字和字母组成的唯一字符串，称为哈希。为了获得特定的信息，Ethereum钱包使用了基于密码的密钥派生功能，这意味着用户输入一个他们可以(理论上)记住的唯一密码，作为回报，他们将收到一个密钥，该密钥被用作唯一的安全授权码。我们的想法是，不可能对哈希进行反向工程来解锁用户的基本密码，尽管一些算法已经被破坏了很多年，包括MD5和SHA1。然而，正如多尔蒂的客户所发现的那样，Ethereum的安全系统非常紧张。

多尔蒂告诉Engadget:“使用Ethereum，因为它是分布式的，所以你实际上可以在自己的计算机上完成所有这些，甚至不用接触互联网。“你说我正在创建一个密码为‘香蕉’的钱包，它变成了一把钥匙。由于没有公司界面，忘记密码也没人能帮你重置。因此，我认为解决这个问题的唯一方法是找到一种聪明的方法，尝试通过使用相同的哈希来重现复杂的输出。”

本质上，您可以进行网络钓鱼。在网络钓鱼攻击中，黑客试图在未经他们同意的情况下收集某人的信息，通常是通过损坏的电子邮件链接和官方表格。Ethereum的安全协议在技术上可能是稳定的，但它们无法防止有人通过询问所有者密码是什么，或者欺骗他们删除线索来骗取密码。

只是，多尔蒂不会骗任何人。人们来找他，愿意回答关于他们密码习惯的个人问题。他们通常把字母大写还是把它们变成数字？他们使用自己的出生年份、最喜欢的地点或特殊符号吗？

“也许，你没有选择你最喜欢的城市，而是选择了你最喜欢的电影或演员或你的名字，或类似的东西，”多尔蒂说。通过电子邮件，我只是反复询问这个人，并帮助按摩它，而不是点击他们来破解他们为什么认为他们的密码可能是。

然后Dougherty混合使用了密码破解软件hashcat和自己构建的程序(称为expandpass)，通过特定的文字和符号的变化，以受控的排列方式运行，但规模非常大。在GitHub上，他形容expandpass“对于破解你记忆中的密码非常有用”。

这些程序是免费和开放的，但大多数人没有硬件或编程专业知识来使用它们。多尔蒂恰好有实用知识，他的设备非常重要：运行1080 Ti显卡，16核CPU，64GB内存。破解密码可能需要几个月的时间。

如果他成功了，客户会付钱给他。当然，在埃瑟伦。然而，有时多尔蒂会在几个月后关闭一个项目，然后找到正确的密码，并与客户分道扬镳.他没有说这是失败。

“没有失败的状态，是吗？”他说。“我可以无限期地继续尝试任何事情。这更像是一种被遗弃的状态，在这种状态下，我不再值得花时间或继续迭代它来保持我的裂解设备运行。因为它真的很耗电。所以，有一个有趣的谈判。”

多尔蒂在2017年阅读了一篇Reddit帖子后，开始破解他的加密货币，这篇帖子来自那些想闯入自己以太博物馆钱包的人。Redditor记住了他们的部分密码，通常是什么样子的，并给了Dougherty一个完全适合他人际编码技巧的难题。他和其他五个程序员最终竞争破解这个用户的密码。多尔蒂赢了。

“我成功地解锁了那个人的密码，然后我开始直接从那篇文章中得到它，‘等等，嘿，你能帮我解决这个问题吗？’”多尔蒂说事物从那里有机地发展。"

从网络钓鱼者的角度来看，加密货币似乎有点复杂。从这个角度来看，当人类更容易预测的时候，技术协议的稳健性并不重要。多尔蒂遇到了一些常见和固有的人为加密密码的怪癖，这也是潜在的安全风险。比如很多人使用与密码实际功能相关的词语，比如“Ethereum”或者“wallet”。

多尔蒂说：“我想说，超过90%的人使用出生年份或出生年份的最后两位数。

幸运的是，Dougherty正在善用这些知识。他通常与以太坊合作，但他的方法应该以相同的方式应用于其他钱包和半忘记密码场景。随着可能改变游戏规则的加密货币即将出现，例如Facebook的Libra，Dougherty的服务应该会有很高的需求。至少，直到扎克伯格和朋友们自己进入加密货币客户服务业务。

“实际上，它的特别罕见之处在于它是协作和共识的，”他说。“因为加密货币是如此新颖，我认为这是第一个将一个人放在我的位置上的实例，我可以与客户一起共同努力，得出这些结论。”

　　免责声明：本文由用户上传，与本网站立场无关。财经信息仅供读者参考，并不构成投资建议。投资者据此操作，风险自担。 如有侵权请联系删除！