帳本揭示了關鍵錢包密碼漏洞

Ledger提供了Tangem加密卡的暴力破解漏洞。弱密碼在沒有補丁修復的情況下容易被黑客攻擊。是時候增強用戶的安全性了。

Ledger 發現了 Tangem 卡片中加密貨幣錢包的一個災難性缺陷。該漏洞利用撕裂攻擊來克服安全延遲，以更高的速度進行暴力破解登入。這一發現引發了有關錢包安全的嚴重問題。

Ledger Donjon 團隊在對 Tangem 的安全通道和密碼保護進行詳細檢查後揭示了這個問題

盡管Tangem內置了延遲計數器，以使密碼的檢索更加困難，但現在攻擊者每秒可以破解大約2.5個密碼。這比計劃的每45秒猜測一次的速度快了100倍以上。

攻擊如何破壞錢包安全。

Tangem卡片具有一種安全系統，在失敗的情況下會推遲密碼重新輸入。丟失嘗試將造成最長45秒的延遲。

這往往使得暴力攻擊不可行，特別是對於較長的密碼。攻擊利用了一種撕裂方法，在關鍵功能上切斷卡片的電源供應。

這使得卡片的失敗計數器無法以正確的方式更新。因此，攻擊者能夠繞過延遲，幾乎無限制地嘗試密碼。

Ledger研究表明，卡片的關機時間窗口在約6700微秒的狹窄時間範圍內，防止了安全延遲的發生

除了分析卡片中芯片的電磁發射外，攻擊者還可以在信號延遲之前判斷密碼猜測是否正確，前提是斷電。

Tangem提供的安全通道加密旨在保護數據交換，但這增加了脆弱性。

加密中使用的密鑰值基於用戶的密碼。這使得破解通道的加密與破解密碼一樣困難。

Ledger實驗了價格低於5000美元的設備，因此，攻擊可以對多個擁有物理訪問權限的攻擊者開放。

遺憾的是，當前版本的Tangem卡沒有補丁可以修復這個缺陷。

弱密碼用戶面臨的嚴重風險

源 ledger.com

常見或弱密碼非常容易受到此類攻擊。舉例來說，4位數字的PIN碼在不到一個小時內就可以被破解，而在沒有入侵的情況下則需要五天的時間。

六位或八位的密碼也明顯較弱，這仍然更加安全。

Tangem建議用戶使用至少八個字符的密碼，包含字母、數字和符號。

這很重要，因爲簡單或基於字典的密碼可以在幾天而不是幾年內被破解。

在他的報告中，Ledger向Tangem適當披露了建議實施密碼政策，要求用戶使用強密碼，並建議用戶應當這樣做。弱密碼用戶需要升級以最小化風險。Tangem低估了風險，稱問題並不脆弱。然而，Ledger提供的技術分析強調了實際存在的安全漏洞，這可能造成損害。