使用 Strongcoin.com 作為線上錢包有什麼風險?
Strongcoin聲稱它是“儲存比特幣的最安全方式。唯一不易受到安全漏洞攻擊的比特幣電子錢包服務。你的比特幣密鑰在瀏覽器中加密。”
據我了解,在他們的系統中,您的私鑰在發送到網站之前基本上由瀏覽器加密。他們似乎還有一種方法可以為你的錢包創建一個加密的紙質副本,這樣你就可以在網站消失時恢復你的錢包。
即便如此,如果您從受感染的電腦(即通過擊鍵記錄器和更高級的記錄技術)訪問您的錢包,您似乎仍然可能受到攻擊。
使用此類服務還有哪些其他風險?
注意:我沒有使用過 Strongcoin,並且與他們沒有任何關係。
我是My Wallet的運營商,這是一個類似的基於 javascript 的錢包服務。我會盡量保持這個答案盡可能公正。
網站所有者是惡意的
網站運營商可以隨時更改 javascript 程式碼,因此如果他們願意,可以更改程式碼以上傳您的未加密密鑰或攔截您的密碼。如果您不信任網站所有者,因此不建議您使用此類服務。
網站數據庫洩露
假設在發生數據庫洩漏的情況下該站點已正確程式,則只有您的加密密鑰會被洩漏。如果密碼不夠安全,攻擊者可能會暴力破解您的密碼,但只要使用者意識到洩漏,他們就有足夠的時間將他們的代幣轉移到新地址。
網站伺服器被入侵
如果整個伺服器遭到破壞,攻擊者可能能夠更改 javascript 程式碼或網站程式碼,以便在您下次登錄時向他發送未加密的密鑰副本。這種類型的攻擊通常不如數據庫洩漏常見,並且要產生任何重大影響,站點運營商需要不注意。
您忘記了密碼
由於您的密碼永遠不會發送到伺服器,因此站點所有者無法提供密碼恢復程序。如果密碼失去,您的密鑰將無法使用。紙錢包備份可以幫助解決這個問題。
鍵盤記錄器或病毒
如果您的電腦上有鍵盤記錄器或病毒,它可能會攔截您的密碼,然後攻擊者可以使用該密碼登錄您的錢包並花費您的硬幣。傳統的桌面錢包也容易受到此影響。我的錢包不太容易受到此攻擊,因為該站點支持yubikey兩因素身份驗證。
最後一點:使用我的錢包,您只能添加您的比特幣地址,而無需關聯的私鑰。如果您隨後保留您的私鑰的紙質錢包備份,即使您的帳戶被盜,也沒有什麼可竊取的。