O哥闲扯淡: 将私钥备注到QQ签名是个好主意吗?

in security •  11 months ago

无聊时翻看我QQ好友,发现一个STEEMIT上朋友QQ签名里竟然写着一串类似私钥的字符串。我去提醒他问他怎么把私钥弄QQ签名上了?他沾沾自喜地回答,“怎么样,我是不是很聪明,这样我的私钥就实现了云同步,无论是手机还是电脑,家里还是网吧,妈妈再也不用担心我找不到私钥啦!”


(图源 :pixabay)

私钥很容易分辨

额,大哥你果然聪明,容我喝杯82年的可乐压压惊。没错,你是实现了云同步,这么有创意的想法你都能想出来,我谁也不服,就服你。然而,这样一来,你的私钥不就泄露了吗?我将这个想法说给他听,他不以为然地对我说:”你当我傻啊,当然不能把私钥原封不动放上去,我在前后都加了几个字符,就不信别人能看出来!”

额,大哥你果然英明神武,吓得我可乐都撒键盘上了。如果大家有看过我之前关于私钥等介绍文章,就会知道私钥的长度是固定的,并且开头也都基本上是固定的。STEEM采取了和BitCoin一样的私钥算法,所以开头字符(5)和长度都是固定的。我将他的签名掐头去尾,一个完美的私钥诞生了。

面对我发过去的私钥,这位大哥久久无言,我想当然的认为他意识到自己的做法不妥当,正在反省中。结果过了一会这个大哥打过来一串哈哈哈哈哈。然后和我说,“你知道了私钥又何妨?这是我一个马甲号,你又不知道我ID!哼哼,就好比你明明知道有人邮箱密码是123456,但是你能把所有的邮件账户都试一遍吗?”

通过私钥可以获取用户名

额,看来我不拿出点强有力的证明,这大哥死不悔改啊。于是我直接找出他马甲的STEEM ID,发给了他。这次大哥震惊了:“我靠,你咋找到的?😲 吓得我瓜子都掉地上了” 。我说:“别管我咋找到的,快去去掉签名,去STEEMIT修改密码吧”

过了一会,这位大哥又上来纠缠:“密码改好了,快告诉我咋整的,太神奇了”。挨不住他QQ上不断轰炸,我只好告诉他了,其实是很简单的事情。公钥是由私钥生成的,所以我们就可以获取公钥了,而STEEM上,账户公钥是公开的,那么当然可以获取用户名喽。

不过从公钥获取用户名是需要一丁点技术的,我以前用的笨方法是去steemdata数据库里搜索,但是后来发现steem有个get_key_references专门做这事,它位于account_by_key_api中。

声明如下:

vector< vector< account_name_type > > get_key_references( vector< public_key_type > keys )const;

来测试调用一下,用自己的Active公钥:

curl --data '{"jsonrpc": "2.0", "method": "call", "params": ["account_by_key_api", "get_key_references", [["STM6MGdForcZ8HskcguP84QSCb8udgz7W9yUPU5jtsAKQAxth3U16"]]], "id": 1}' https://api.steemit.com


哈哈哈,抓到了吧。

结局

最终大哥表示他服了,但是他依旧没有改QQ签名,我问他咋还不改呢,他回答:“我已经在STEEMIT上改了密码,这组私钥应该就无效了,让你们这类坏人用尝试黑掉吧,累死你们这帮坏蛋!”

额,大哥你高兴就好,我这个坏蛋低调的匿了。


我又冒出来了,提示大家,千万不要向这位大哥学习啊。

Authors get paid when people like you upvote their post.
If you enjoyed what you read here, create your account today and start earning FREE STEEM!
Sort Order:  

关于STEEMIT账户权限以及相应的安全提示


有朋友问到,就把以前写的STEEMIT密码密钥有关的文章再重新贴一遍,希望对新老朋友有所帮助

·

人工置顶

自从我那个账号@nostalgic1212主密码不见了以后,花了半天时间弄好了kepass各种备份...密码不仅不敢随便放,而且还得藏在自己找的回来的地方啊...
ps你朋友的做法,惊的我下巴都快掉了

·

额,看了一下你文章,才知道发生了什么,同情

·
·

然后在倒腾keepass的时候,在keychain翻到了修改密码前的老owner key,因为我是在cnsteem注册的,还在麻烦skenan恢复当中...不过似乎有点麻烦。现在也只能坐等勒>..<!!!
多么痛的领悟,大家一定一定一定要管好自己的密码...
对了O哥,有空的话能不能帮我看下这篇有没有什么要修改的地方呐?密码管理软件1Password & Keepass,先谢谢啦

·
·
·

这我真不懂啊,我都是U盘+小本的,哈哈

·
·
·
·

哈哈哈哈,U盘和小本子是王道!其实离线的才是最安全的

公钥是由私钥生成的,所以我们就可以获取公钥了

這確實是重要又容易弄錯的觀念。

另一點是,就算你在私鑰裡加幾個字再刪幾個字,前後調動,然後假設你自己能完全記住這些變動好了。但這對於密碼強度而言,就可能從幾百萬年才能破解,變成幾天(?)就能破解的難度了。除非你確定惡意者對你沒興趣,除非直接拿到私鑰不想搞你,否則,這樣做,其實風險還是高了很多很多等級。

有沒錯,O葛兒指教一下。

·

我才不会告诉你,我有你的私钥的😏

他把私钥给了o哥之后,账号果然更加安全了。

·

明智!

O神的提示非常重要,以前我就是在私钥前后加点字符保存的,不过我是保存到QQ邮箱里,以后的确要重视安全问题,现在就把私钥备份下来离线保存。

哈哈哈哈哈,我是把私钥收藏在微信收藏里面,这样就比较不会丢啦~

·

微信可能被盗,哈哈

大哥果然是大哥,脑洞大开的哥呀😅

其实
我也想这么干的
如果不是因为Tim找不到签名在哪儿的话

我晕。。。对这位大哥无语╯﹏╰哈哈哈

这位大哥也太大意了…… 学习了通过私钥居然能获得用户名。想起之前一个盗号的不就是扫描通过扫描私钥盗号的,大家一定要小心啊。

公钥是由私钥生成的,所以我们就可以获取公钥了

这个是跟精通比特币一书中的通过私钥推公钥推出地址是一个道理吧!

·

一样的:)

這算是腦洞大開嗎?

我的输入到word里,存起来了,小本上还抄了一份。这密码太无敌了。

是不是老祖宗教的:最危险的地方就是最安全的地方😂

·

我也在想同样的豪气策略 哈哈哈

·

放我这吧,我帮你保管😏

私钥还能做签名,学到了,哈哈。。。

·

哈哈,看你回复,我才想起来:
私钥就是用来签名的😀

·
·

对嘛,所以说做QQ签名没毛病。哈哈哈

我用了类似的做法,不过是后面十位数没有写下来

·

这个方法不错,自己记下一小部分就可以

·

咦 找到组织了,加下呗
我是@hepeng.chn

·
·

早就加了你了啊

我默默的低下头,向那位大佬低头。= =、

我最作死的一次是把QQ密码写在了QQ留言板。

Dream At My Love

没错,就是这个。 = =、等一下,我咋觉得哪里不对?

·

你个骗子,我试了半天,总提示密码不对

虽然放到签名上,密码算是保存了下来,但是感觉太没有安全感了

最后一段他又犯错了,只要我掌握他的上一个私钥,就可以利用系统三十天恢复账号的机制强行再把私钥改了对吧?

·

应该不对

账户恢复机制应该是用密码(或者owner key)来签名的
具体流程我不太清楚,但是posting key铁定是不行的

·
·

啊,我以为你朋友就是公布的 owner key 呢。怎么说都好,他注定是做大事的。

我朋友刚注册,主密码少抄了最后两位,能找的回来不?

·

自动生成的密码具有一定的规律(数字、大小写字母)
所以如果确定是少抄了最后两位,那么应该可以写个脚本暴力破解

如果是少抄了中间两位那就没希望了

感觉智商捉急啊

笑尿

怎么把声誉搞上去呀?

涨姿势了

cn-PROGRAMMING ...........LOVE IT

小心驶得万年船

eficaz esta publicación felicidades

厉害,有时间我也深层次研究一下steem相关

모든 프리미엄 프리미엄 여객 열차

我是把私钥其中几位字符替换成别的字符,可以被破解么?

哇,,,非常漂亮的图片

离线存储是王道啊

哎呀呀,吓得我赶紧把明文记录的所有密码加密了一回。

到底哪个是公钥私钥呢?看不懂到底应该备份哪个。