**bs上實際上是共享的,因為有些人很可能有多重身份,或者他的朋友當中會是另外一個組織的成員,訊息就是這麼接力般地傳播開來。
而當位元信使釋出之後,大家傳播訊息的速度立刻提升了好幾個等級,為了讓自己的賬號資料更加穩定,大家紛紛向自己的朋友推薦這個軟體,然後互相加為好友。
而有關位元信的訊息也是最近最為熱門的話題,各**bs上紛紛開始出現各種各樣的測試和研究報告。
另外也不斷傳出各種成功破解位元信使的訊息,諸如“位元信使沒有那麼神,第一個賬號破解案例yijing出現”之類的帖子層出不窮。
然而這些帖子出現之後,接著又有人出面對這個破解進行質疑,最終大家經過論證之後,又證明對方的破解只是在特殊的條件下才成立,根本不具備普遍性。
並且,有關位元信使賬號被盜的案例也出來了,這是因為有人的個人計算機被別人入侵了,本地的私鑰檔案被人盜取,然後被暴力破解。
danshi,這種情況是無論如何避免不了的。
從來就沒有絕對安全的軟體。
軟體做出來,始終是給人用的,如果自己的密碼或者金鑰沒有保護好,被人盜走,肯定會被盜取。
註冊位元信使之後,會根據計算機硬體資訊和特定演算法生成一個唯一的公鑰和唯一的金鑰。
公鑰就是位元信使的id,可以對外公佈,讓別人新增自己為好友。而金鑰,則需要自己另外儲存。
其中最為關鍵的就是這個私鑰,這個東西就是證明自己是賬號主人的唯一憑證。在位元信使軟體的安裝目錄下,有一個名為bitkey的檔案,這個檔案裡面就儲存著自己的私鑰,一旦這個檔案丟失或者被盜,就只能透過向朋友申訴的方式來取回私鑰。
在私鑰的基礎之上,也會進行一層加密,這層加密就是登入的過程,驗證使用者名稱和密碼,如果吻合,則可以使用這個金鑰對其他人傳送過來的訊息進行解密,從而實現通訊。
danshi,如果儲存在本地的金鑰檔案被人盜取,並且使用暴力破解或者社會工程學方法獲得了使用者名稱和密碼,那這個賬號就徹底被盜了。
並不是說,只要使用位元信使,就完全可以杜絕被盜號的可能。
位元信使賬號是完全扁平的,不存在某些賬號金貴,某些賬號廉價的問題。所以,除非某些別有用心的機構,通常花大力氣去盜取和破解一個賬號是不符合經濟規律的。
位元信使的魅力在於匿名通訊,讓第三方無法透過截留資料包的方式來監聽網路。
藍鷹內部論壇上關於位元信使的訊息也越來越多,最終,一個帖子引起了林鴻的注意。
“《轉載:一個yijing被證明了的盜取私鑰的方法,xiwang位元信使作者關注》”
剛開始的時候,林鴻看到標題,以為也是像之前的那些帖子一樣,只是破解者自己設定了一個極端的環境才會出現的情況。
可是當他點選進入檢視具體內容之後,臉色逐漸變得認真起來。…;按照林鴻原本的設計,假設本地私鑰丟失或者被盜,而不願意重新申請新號的話,就可以向自己的朋友申請所要私鑰。
而這個申請的過程,是需要透過另外的方式和自己的朋友聯絡,讓他們收到資訊之後,給自己的申請傳送一個電子簽名,證明申請人的這個申請是有效的。
而當有六位以上的朋友都傳送了電子簽名之後,這個申請就被認為是有效的,於是,私鑰就會被下載到申請人的客戶端中,替換原來的bitkey檔案。
danshi,這個帖子中指出,由於大家缺乏一定的安全意識,朋友之間的信任很容易被濫用,對方偽裝成當事人和自己的朋友進行聯絡,讓他們給自己的申請傳送簽名,這樣就會將當事人的私鑰成功給騙到手。
由於大家並不清楚實際的使用人yijing換人,所以很有可能會被繼續欺騙,從而被盜號者套取一些機密情報。
在這個帖子中,作者說他yijing親自實踐過,成功盜取過兩位使用者的私鑰。
實際上,林鴻在設計賬號申訴的時候,的確是考慮過這種情況,不過他沒有更好的解決方案,所以暫時就將這個問題放下了,畢竟出現這種情況的機率相對來說不會很大。
不過,這篇帖子的作者提供了一個方案,放林鴻很感興趣。
林鴻回過頭來看了一下帖子的作者。