Coinbase錢包用戶現在可以在Google雲端硬盤和iCloud上備份他們的私鑰。這有多安全?

 

2月12日,總部位於舊金山的加密貨幣交易所Coinbase 宣布,其Coinbase錢包的用戶現在可以在雲端存儲上備份他們的私鑰,即在Google雲端硬盤和iCloud上。

此舉受到了加密社區和網絡安全專家的不同反響,其中一些人似乎對將私鑰存儲在中央服務器上的想法持懷疑態度。其他人對新功能充滿信心,強調它需要加密。

Coinbase錢包簡介,以前稱為Toshi

Coinbase Wallet與主應用程序Coinbase(或Coinbase.com)不同。對於後者,客戶購買的加密貨幣及其私鑰由Coinbase存儲。反過來,使用Coinbase Wallet,用戶可以使用其唯一的私鑰來保存自己的加密。這些鍵據稱保護與安全區域和生物認證技術。

最初,Coinbase開發了Toshi,一個開源的,以移動為中心的分散式應用程序(DApp)瀏覽器和Ethereum(ETH)錢包,於2017年4月推出。該項目的靈感來自中國移動支付應用程序微信,並具有內置的消息支持和信譽系統,使用戶能夠評價平台內的其他用戶和應用程序。根據其開發商的說法,Toshi旨在為發展中國家的人們提供金融服務,特別是向沒有銀行賬戶的人群提供金融服務。據說它也是第一個推出加密收藏品的錢包。

一年後,即2018年4月,Coinbase  Toshi與其最近收購的Cipher Browser 合併,這是一款類似的分散式應用程序瀏覽器和ETH區塊鏈錢包。Cipher的創建者和唯一的開發人員Pete Kim成為Toshi的工程主管,加入了Coinbase的DApp項目產品負責人Sid Coelho-Prabhu。

2018年8月,Toshi 重新命名為Coinbase錢包。官方公告如下

“這不僅僅是一個新名稱,而是投入產品的更大努力的一部分,這些產品將定義分散式網絡的未來,並使任何人都可以訪問這些未來。[…]使用Coinbase Wallet,您的私鑰可以使用您設備的Secure Enclave和生物識別身份驗證技術進行保護。“

因此,在當時,Coinbase Wallet支持ETH和ERC-20令牌管理,空投,加密收藏品交易和存儲,以及訪問DApps和分散交易所等等。根據該公司當時公佈的Medium條目,Coinbase Wallet將很快開始支持比特幣(BTC),比特幣現金(BCH)和Litecoin(LTC)。

2018年11月,Coinbase Wallet 增加了對Ethereum Classic(ETC)的支持。2019年2月,交易所的錢包開始託管BTC。該公司重申它正在考慮增加BCH,LTC以及其他主要的加密貨幣。

有關新功能的更多信息:支持Google Drive和iCloud,該功能中有更多雲存儲提供商

因此,在2月12日,Coinbase Wallet宣布其用戶現在可以在Google雲端硬盤和iCloud上備份他們的私鑰。

隨附的聲明中,Coinbase解釋說,允許用戶將密鑰上傳到雲端可以防止丟失密鑰,並且如果密鑰丟失,將有助於他們避免損失資金:

“在您的移動設備上生成和存儲的私鑰是在區塊鏈上訪問您的資金的唯一方式。像Coinbase錢包這樣的“用戶控制的錢包”的所有者有時會丟失他們的設備,或者無法在安全的地方備份他們的12字恢復短語,從而永遠失去他們的資金。“

現在,Coinbase Wallet的用戶可以在其云帳戶中存儲恢復短語的加密副本。Coinbase指出,他們和雲服務都無法訪問用戶資金,因為恢復短語密鑰是通過只有用戶知道的密碼解鎖的。據報導,備份使用AES-256-GCM加密進行加密,只能通過電子錢包移動應用程序訪問。

Coinbase指出,除了Google Drive和iCloud之外,他們還將在未來擴展對其他雲的支持。該功能是一種選擇加入服務,不會替換或取代原始恢復選項。

有趣的是,該功能是在QuadrigaCX案例的背景下推出的。本月早些時候,加拿大加密貨幣交易所在其創始人突然去世後提起債權人保護,據報導,創始人是負責交易所鑰匙和冷錢包的唯一執行官。在他去世後,該交易所無法獲得據稱需要支付的數字資產1.45億美元。

社區反應

新功能在加密社區之間得到了不同的反應,因為一些人批評了將私鑰存儲在中央服務器上的想法。“你可能要重新考慮這個,”最受歡迎的答复Coinbase的Twitter上公佈的一個讀取。“我不明白,你怎麼誤解你的目標受眾如此糟糕?”另一個

Reddit用戶之間的反應似乎更多,因為許多用戶強調新功能需要加密。例如,u / CryptoNoob-17 寫道

“至少它不是未加密的私鑰,就像blockchain.info之前通過http發送私鑰作為純文本所做的那樣。如果這讓一些新手不會丟失他們的硬幣,並告訴他們所有的朋友愚蠢的加密貨幣是多麼愚蠢的加密貨幣,因為他們全部丟失了,我沒有看到問題。“

那麼,新功能是否足夠安全?專家稱重

網絡安全專家似乎也對新功能持懷疑態度。非監護錢包MyCrypto的創始人兼首席執行官Taylor Monahan告訴Cointelegraph,信任用戶提出足夠複雜的密碼並不是一個好主意:

“無論加密的強度如何,弱鏈接始終是用戶選擇的密碼(在他們的錢包和他們的雲存儲帳戶上)。人們根本無法生成具有足夠熵的密碼,也無法始終為每項服務使用唯一密碼。“

Monahan補充說,如果黑客意識到大量人群開始使用雲服務器來存儲他們的加密貨幣,“我們無疑會看到對這些雲存儲提供商的攻擊有所增加。”她補充說:

“像Coinbase這樣的玩家不應該鼓勵這種不安全行為。我理解對更好用戶體驗的渴望,但最糟糕的用戶體驗是人們因盜竊而失去所有加密資產。“

Hosho的聯合創始人兼總裁Hartej Sawhney是一家保護投資並提供包括審計在內的多種智能合約服務的創業公司,但他不同意個人用戶因新升級而成為黑客的目標。

“黑客傾向於以最小的努力獲取最大的信息。這意味著他們可能會攻擊雲存儲服務的核心,而不是單個用戶。Google Drive和iCloud在歷史上一直很安全,“他告訴Cointelegraph,並補充道,對他而言,與其他平台相比,Coinbase似乎更安全:

“如果有的話,加密貨幣交易應該從Coinbase那裡得到一些關於如何加強安全性的說明。此外,Coinbase遵循強大的安全功能,如多因素身份驗證,電子郵件確認和活動的錯誤賞金計劃,使其比任何其他加密交換更加強大。“

研究硬件和軟件漏洞的安全研究團隊成員Josh Datko和Thomas Roth在“Wallet.fail”標題下也告訴Cointelegraph,由於採取了一些預防措施,新功能足夠安全:

“在我們看來,用戶加密的雲備份不會顯著增加受到危害的風險,因為密碼足夠複雜,從密碼到AES-256-GCM密鑰的密鑰推導就足夠了,並且沒有實施錯誤。 “

此外,Datko和Roth警告說,實施也很重要:

“不幸的是,雖然這聽起來像一個簡單的功能,但許多組織在這裡犯了錯誤。據我們所知,我們不知道這個新功能是否是開源的,或者Coinbase是否對此進行了獨立審核。“

Cointelegraph還與Coinbase進行了進一步評論,但截至發稿時該公司尚未回复。

 

來源 : Cointelegraph.com

Telegram : https://t.me/blockchainsdaily

發表迴響

你的電子郵件位址並不會被公開。 必要欄位標記為 *