O哥闲扯淡: 将私钥备注到QQ签名是个好主意吗?

in #security6 years ago

无聊时翻看我QQ好友,发现一个STEEMIT上朋友QQ签名里竟然写着一串类似私钥的字符串。我去提醒他问他怎么把私钥弄QQ签名上了?他沾沾自喜地回答,“怎么样,我是不是很聪明,这样我的私钥就实现了云同步,无论是手机还是电脑,家里还是网吧,妈妈再也不用担心我找不到私钥啦!”


(图源 :pixabay)

私钥很容易分辨

额,大哥你果然聪明,容我喝杯82年的可乐压压惊。没错,你是实现了云同步,这么有创意的想法你都能想出来,我谁也不服,就服你。然而,这样一来,你的私钥不就泄露了吗?我将这个想法说给他听,他不以为然地对我说:”你当我傻啊,当然不能把私钥原封不动放上去,我在前后都加了几个字符,就不信别人能看出来!”

额,大哥你果然英明神武,吓得我可乐都撒键盘上了。如果大家有看过我之前关于私钥等介绍文章,就会知道私钥的长度是固定的,并且开头也都基本上是固定的。STEEM采取了和BitCoin一样的私钥算法,所以开头字符(5)和长度都是固定的。我将他的签名掐头去尾,一个完美的私钥诞生了。

面对我发过去的私钥,这位大哥久久无言,我想当然的认为他意识到自己的做法不妥当,正在反省中。结果过了一会这个大哥打过来一串哈哈哈哈哈。然后和我说,“你知道了私钥又何妨?这是我一个马甲号,你又不知道我ID!哼哼,就好比你明明知道有人邮箱密码是123456,但是你能把所有的邮件账户都试一遍吗?”

通过私钥可以获取用户名

额,看来我不拿出点强有力的证明,这大哥死不悔改啊。于是我直接找出他马甲的STEEM ID,发给了他。这次大哥震惊了:“我靠,你咋找到的?😲 吓得我瓜子都掉地上了” 。我说:“别管我咋找到的,快去去掉签名,去STEEMIT修改密码吧”

过了一会,这位大哥又上来纠缠:“密码改好了,快告诉我咋整的,太神奇了”。挨不住他QQ上不断轰炸,我只好告诉他了,其实是很简单的事情。公钥是由私钥生成的,所以我们就可以获取公钥了,而STEEM上,账户公钥是公开的,那么当然可以获取用户名喽。

不过从公钥获取用户名是需要一丁点技术的,我以前用的笨方法是去steemdata数据库里搜索,但是后来发现steem有个get_key_references专门做这事,它位于account_by_key_api中。

声明如下:

vector< vector< account_name_type > > get_key_references( vector< public_key_type > keys )const;

来测试调用一下,用自己的Active公钥:

curl --data '{"jsonrpc": "2.0", "method": "call", "params": ["account_by_key_api", "get_key_references", [["STM6MGdForcZ8HskcguP84QSCb8udgz7W9yUPU5jtsAKQAxth3U16"]]], "id": 1}' https://api.steemit.com


哈哈哈,抓到了吧。

结局

最终大哥表示他服了,但是他依旧没有改QQ签名,我问他咋还不改呢,他回答:“我已经在STEEMIT上改了密码,这组私钥应该就无效了,让你们这类坏人用尝试黑掉吧,累死你们这帮坏蛋!”

额,大哥你高兴就好,我这个坏蛋低调的匿了。


我又冒出来了,提示大家,千万不要向这位大哥学习啊。

Sort:  

关于STEEMIT账户权限以及相应的安全提示


有朋友问到,就把以前写的STEEMIT密码密钥有关的文章再重新贴一遍,希望对新老朋友有所帮助

人工置顶

自从我那个账号@nostalgic1212主密码不见了以后,花了半天时间弄好了kepass各种备份...密码不仅不敢随便放,而且还得藏在自己找的回来的地方啊...
ps你朋友的做法,惊的我下巴都快掉了

额,看了一下你文章,才知道发生了什么,同情

然后在倒腾keepass的时候,在keychain翻到了修改密码前的老owner key,因为我是在cnsteem注册的,还在麻烦skenan恢复当中...不过似乎有点麻烦。现在也只能坐等勒>..<!!!
多么痛的领悟,大家一定一定一定要管好自己的密码...
对了O哥,有空的话能不能帮我看下这篇有没有什么要修改的地方呐?密码管理软件1Password & Keepass,先谢谢啦

这我真不懂啊,我都是U盘+小本的,哈哈

哈哈哈哈,U盘和小本子是王道!其实离线的才是最安全的

公钥是由私钥生成的,所以我们就可以获取公钥了

這確實是重要又容易弄錯的觀念。

另一點是,就算你在私鑰裡加幾個字再刪幾個字,前後調動,然後假設你自己能完全記住這些變動好了。但這對於密碼強度而言,就可能從幾百萬年才能破解,變成幾天(?)就能破解的難度了。除非你確定惡意者對你沒興趣,除非直接拿到私鑰不想搞你,否則,這樣做,其實風險還是高了很多很多等級。

有沒錯,O葛兒指教一下。

我才不会告诉你,我有你的私钥的😏

他把私钥给了o哥之后,账号果然更加安全了。

O神的提示非常重要,以前我就是在私钥前后加点字符保存的,不过我是保存到QQ邮箱里,以后的确要重视安全问题,现在就把私钥备份下来离线保存。

哈哈哈哈哈,我是把私钥收藏在微信收藏里面,这样就比较不会丢啦~

微信可能被盗,哈哈

我晕。。。对这位大哥无语╯﹏╰哈哈哈

大哥果然是大哥,脑洞大开的哥呀😅

其实
我也想这么干的
如果不是因为Tim找不到签名在哪儿的话

我的输入到word里,存起来了,小本上还抄了一份。这密码太无敌了。

Coin Marketplace

STEEM 0.25
TRX 0.11
JST 0.033
BTC 62726.25
ETH 3050.18
USDT 1.00
SBD 3.81