账本揭示了关键钱包密码漏洞

Ledger提供了Tangem加密卡的暴力破解漏洞。弱密码在没有补丁修复的情况下容易被黑客攻击。是时候增强用户的安全性了。

Ledger 发现了 Tangem 卡片中加密货币钱包的一个灾难性缺陷。该漏洞利用撕裂攻击来克服安全延迟,以更高的速度进行暴力破解登录。这一发现引发了有关钱包安全的严重问题。

Ledger Donjon 团队在对 Tangem 的安全通道和密码保护进行详细检查后揭示了这个问题

尽管Tangem内置了延迟计数器,以使密码的检索更加困难,但现在攻击者每秒可以破解大约2.5个密码。这比计划的每45秒猜测一次的速度快了100倍以上。

攻击如何破坏钱包安全。

Tangem卡片具有一种安全系统,在失败的情况下会推迟密码重新输入。丢失尝试将造成最长45秒的延迟。

这往往使得暴力攻击不可行,特别是对于较长的密码。攻击利用了一种撕裂方法,在关键功能上切断卡片的电源供应。

这使得卡片的失败计数器无法以正确的方式更新。因此,攻击者能够绕过延迟,几乎无限制地尝试密码。

Ledger研究表明,卡片的关机时间窗口在约6700微秒的狭窄时间范围内,防止了安全延迟的发生

除了分析卡片中芯片的电磁发射外,攻击者还可以在信号延迟之前判断密码猜测是否正确,前提是断电。

Tangem提供的安全通道加密旨在保护数据交换,但这增加了脆弱性。

加密中使用的密钥值基于用户的密码。这使得破解通道的加密与破解密码一样困难。

Ledger实验了价格低于5000美元的设备,因此,攻击可以对多个拥有物理访问权限的攻击者开放。

遗憾的是,当前版本的Tangem卡没有补丁可以修复这个缺陷。

弱密码用户面临的严重风险

源 ledger.com

常见或弱密码非常容易受到此类攻击。举例来说,4位数字的PIN码在不到一个小时内就可以被破解,而在没有入侵的情况下则需要五天的时间。

六位或八位的密码也明显较弱,这仍然更加安全。

Tangem建议用户使用至少八个字符的密码,包含字母、数字和符号。

这很重要,因为简单或基于字典的密码可以在几天而不是几年内被破解。

在他的报告中,Ledger向Tangem适当披露了建议实施密码政策,要求用户使用强密码,并建议用户应当这样做。弱密码用户需要升级以最小化风险。Tangem低估了风险,称问题并不脆弱。然而,Ledger提供的技术分析强调了实际存在的安全漏洞,这可能造成损害。

查看原文
此页面可能包含第三方内容,仅供参考(非陈述/保证),不应被视为 Gate 认可其观点表述,也不得被视为财务或专业建议。详见声明
  • 赞赏
  • 评论
  • 转发
  • 分享
评论
0/400
暂无评论
交易,随时随地
qrCode
扫码下载 Gate App
社群列表
简体中文
  • 简体中文
  • English
  • Tiếng Việt
  • 繁體中文
  • Español
  • Русский
  • Français (Afrique)
  • Português (Portugal)
  • Bahasa Indonesia
  • 日本語
  • بالعربية
  • Українська
  • Português (Brasil)