O哥闲扯淡: 将私钥备注到QQ签名是个好主意吗?

in #security7 years ago

无聊时翻看我QQ好友,发现一个STEEMIT上朋友QQ签名里竟然写着一串类似私钥的字符串。我去提醒他问他怎么把私钥弄QQ签名上了?他沾沾自喜地回答,“怎么样,我是不是很聪明,这样我的私钥就实现了云同步,无论是手机还是电脑,家里还是网吧,妈妈再也不用担心我找不到私钥啦!”


(图源 :pixabay)

私钥很容易分辨

额,大哥你果然聪明,容我喝杯82年的可乐压压惊。没错,你是实现了云同步,这么有创意的想法你都能想出来,我谁也不服,就服你。然而,这样一来,你的私钥不就泄露了吗?我将这个想法说给他听,他不以为然地对我说:”你当我傻啊,当然不能把私钥原封不动放上去,我在前后都加了几个字符,就不信别人能看出来!”

额,大哥你果然英明神武,吓得我可乐都撒键盘上了。如果大家有看过我之前关于私钥等介绍文章,就会知道私钥的长度是固定的,并且开头也都基本上是固定的。STEEM采取了和BitCoin一样的私钥算法,所以开头字符(5)和长度都是固定的。我将他的签名掐头去尾,一个完美的私钥诞生了。

面对我发过去的私钥,这位大哥久久无言,我想当然的认为他意识到自己的做法不妥当,正在反省中。结果过了一会这个大哥打过来一串哈哈哈哈哈。然后和我说,“你知道了私钥又何妨?这是我一个马甲号,你又不知道我ID!哼哼,就好比你明明知道有人邮箱密码是123456,但是你能把所有的邮件账户都试一遍吗?”

通过私钥可以获取用户名

额,看来我不拿出点强有力的证明,这大哥死不悔改啊。于是我直接找出他马甲的STEEM ID,发给了他。这次大哥震惊了:“我靠,你咋找到的?😲 吓得我瓜子都掉地上了” 。我说:“别管我咋找到的,快去去掉签名,去STEEMIT修改密码吧”

过了一会,这位大哥又上来纠缠:“密码改好了,快告诉我咋整的,太神奇了”。挨不住他QQ上不断轰炸,我只好告诉他了,其实是很简单的事情。公钥是由私钥生成的,所以我们就可以获取公钥了,而STEEM上,账户公钥是公开的,那么当然可以获取用户名喽。

不过从公钥获取用户名是需要一丁点技术的,我以前用的笨方法是去steemdata数据库里搜索,但是后来发现steem有个get_key_references专门做这事,它位于account_by_key_api中。

声明如下:

vector< vector< account_name_type > > get_key_references( vector< public_key_type > keys )const;

来测试调用一下,用自己的Active公钥:

curl --data '{"jsonrpc": "2.0", "method": "call", "params": ["account_by_key_api", "get_key_references", [["STM6MGdForcZ8HskcguP84QSCb8udgz7W9yUPU5jtsAKQAxth3U16"]]], "id": 1}' https://api.steemit.com


哈哈哈,抓到了吧。

结局

最终大哥表示他服了,但是他依旧没有改QQ签名,我问他咋还不改呢,他回答:“我已经在STEEMIT上改了密码,这组私钥应该就无效了,让你们这类坏人用尝试黑掉吧,累死你们这帮坏蛋!”

额,大哥你高兴就好,我这个坏蛋低调的匿了。


我又冒出来了,提示大家,千万不要向这位大哥学习啊。

Sort:  

关于STEEMIT账户权限以及相应的安全提示


有朋友问到,就把以前写的STEEMIT密码密钥有关的文章再重新贴一遍,希望对新老朋友有所帮助

人工置顶

自从我那个账号@nostalgic1212主密码不见了以后,花了半天时间弄好了kepass各种备份...密码不仅不敢随便放,而且还得藏在自己找的回来的地方啊...
ps你朋友的做法,惊的我下巴都快掉了

额,看了一下你文章,才知道发生了什么,同情

然后在倒腾keepass的时候,在keychain翻到了修改密码前的老owner key,因为我是在cnsteem注册的,还在麻烦skenan恢复当中...不过似乎有点麻烦。现在也只能坐等勒>..<!!!
多么痛的领悟,大家一定一定一定要管好自己的密码...
对了O哥,有空的话能不能帮我看下这篇有没有什么要修改的地方呐?密码管理软件1Password & Keepass,先谢谢啦

这我真不懂啊,我都是U盘+小本的,哈哈

哈哈哈哈,U盘和小本子是王道!其实离线的才是最安全的

公钥是由私钥生成的,所以我们就可以获取公钥了

這確實是重要又容易弄錯的觀念。

另一點是,就算你在私鑰裡加幾個字再刪幾個字,前後調動,然後假設你自己能完全記住這些變動好了。但這對於密碼強度而言,就可能從幾百萬年才能破解,變成幾天(?)就能破解的難度了。除非你確定惡意者對你沒興趣,除非直接拿到私鑰不想搞你,否則,這樣做,其實風險還是高了很多很多等級。

有沒錯,O葛兒指教一下。

我才不会告诉你,我有你的私钥的😏

他把私钥给了o哥之后,账号果然更加安全了。

O神的提示非常重要,以前我就是在私钥前后加点字符保存的,不过我是保存到QQ邮箱里,以后的确要重视安全问题,现在就把私钥备份下来离线保存。

哈哈哈哈哈,我是把私钥收藏在微信收藏里面,这样就比较不会丢啦~

微信可能被盗,哈哈

我晕。。。对这位大哥无语╯﹏╰哈哈哈

这位大哥也太大意了…… 学习了通过私钥居然能获得用户名。想起之前一个盗号的不就是扫描通过扫描私钥盗号的,大家一定要小心啊。

公钥是由私钥生成的,所以我们就可以获取公钥了

这个是跟精通比特币一书中的通过私钥推公钥推出地址是一个道理吧!

一样的:)

我的输入到word里,存起来了,小本上还抄了一份。这密码太无敌了。

這算是腦洞大開嗎?