Segurança Signum
Segurança Signum
Frase-senha gerada automaticamente do Signum
As organizações centralizadas geralmente limitam o número de tentativas de login feitas para as contas online que fornecem. Se eles não fizessem isso, as frases-senha curtas que eles permitem seriam rapidamente comprometidas. Eles também não costumam divulgar seu algoritmo de autenticação publicamente.
A natureza de código aberto do cliente Signum permite tentativas de login ilimitadas. Os programas podem testar combinações tão rapidamente quanto bilhões por segundo, tentando todas as combinações possíveis. Por este motivo, o processo de reserva de conta Signum gera automaticamente frases-passe longas e complexas – 12 palavras tiradas aleatoriamente de uma lista de 2,048 English words para as carteiras Phoenix e BTDEX e 1.626 palavras em inglês para a carteira clássica.
A princípio, uma frase secreta gerada pela seleção aleatória de 12 palavras de uma coleção disponível publicamente pode parecer contra-intuitiva. No entanto, após uma análise mais aprofundada, a força deste sistema é aparente.
O número de frases secretas que podem ser geradas a partir da lista de 1.626 palavras da Signum (usada para a carteira clássica da Signum) em combinações de 12 palavras é o seguinte: 341.543.870.028.173.427.817.970.975.906.355.941.376.
Isso é mais de 341 por cento, ou 341 bilhões de bilhões de bilhões de bilhões. Em matemática, isso é eufemisticamente chamado de “grande número”. É tão grande que é difícil imaginar. Tentar todas as combinações possíveis, um processo conhecido como força bruta, levaria bilhões de bilhões de anos em média.
O número de combinações possíveis para carteiras Signum que usam 2.048 palavras selecionadas aleatoriamente é muito maior. No entanto, a diferença é considerada imaterial, como pode ser verificado na análise que se segue:
Tentar comprometer uma conta protegida por uma das senhas geradas automaticamente do Signum é um exercício de futilidade. Também não há como saber se outras palavras não foram adicionadas à senha longa de uma conta.
| Número de palavras | Possíveis combinações de passphrase | Bocados da entropia |
|---|---|---|
| 1 | 1,626 | 10.66 |
| 2 | 2,643,876 | 21.33 |
| 3 | 4,298,942,376 | 32 |
| 4 | 6,990,080,303,376 | 42.67 |
| 5 | 11,365,870,573,289,400 | 53.34 |
| 6 | 18,480,905,552,168,500,000 | 64 |
| 7 | 30,049,952,427,826,000,000,000 | 74.67 |
| 8 | 48,861,222,647,645,100,000,000,000 | 85.34 |
| 9 | 79,448,348,025,071,000,000,000,000,000 | 96 |
| 10 | 129,183,013,888,765,000,000,000,000,000,000 | 106.67 |
| 11 | 210,051,580,583,132,000,000,000,000,000,000,000 | 117.34 |
| 12 | 341,543,870,028,173,000,000,000,000,000,000,000,000 | 128 |
Sua conta está segura com a senha de 12 palavras gerada pelo software Signum. Ele poderia se tornar exponencialmente mais complexo adicionando palavras, letras ou números adicionais, mas já é mais do que suficiente.
Em 2017, um experimento público demonstrou a segurança das senhas de Signum. O experimento envolveu 12 contas, cada uma contendo 1.000 Signum. A senha longa para cada conta foi gerada automaticamente, mas o organizador limitou o número de palavras a 1 para a 1ª conta, 2 para a 2ª conta, etc. A frase secreta para o 12º relato tinha 12 palavras. Um anúncio público foi feito desafiando qualquer pessoa que desejasse participar na tentativa de decifrar as senhas.
Após 6 meses, apenas as 3 primeiras contas tiveram suas senhas descobertas. As contas restantes não puderam ser comprometidas mesmo após serem testadas por uma ferramenta de quebra de senha altamente otimizada que tentou combinações a uma taxa de 160.000 por segundo. Demoraria cerca de 515 dias para quebrar o quarto e mais de 2.000 anos para quebrar o quinto. Com cada palavra adicional aumentando a dificuldade em 1.626, decifrar a 12ª frase-senha não seria possível, embora a lista de 1.626 palavras esteja disponível publicamente.
Frases-senhas
12 palavras sorteadas aleatoriamente de uma lista de 1.626 palavras em inglês. Em outras palavras – indecifrável.
Melhor prática
Não digite sua frase secreta em um formulário online nem a divulgue a alguém em quem você não confie.
Carteiras on-line
Sempre use o software de carteira oficial. As carteiras online não são carteiras oficiais e são centralizadas por natureza.
Implicações de segurança da criptomoeda baseada em Blockchain
Signum é uma criptomoeda baseada em blockchain. Uma única senha (chave privada) protege cada conta. Se você não conseguir produzir a frase-senha para sua conta, não poderá acessar a conta e as moedas associadas a ela não terão valor. Não há uma organização central para entrar em contato nessa circunstância, portanto, deve-se tomar cuidado ao criar uma conta para preservar um registro de sua senha longa.
Contas protegidas por uma única frase-senha são coloquialmente conhecidas como carteiras cerebrais porque a frase-senha poderia ser armazenada apenas na memória do titular da conta. Para a maioria das pessoas, não é recomendável preservar o registro da frase-senha de uma conta crítica dessa maneira.
A melhor maneira de preservar um registro de frases secretas é armazená-lo com segurança em mais de um local. Salvar no disco rígido de um computador, inseri-lo em um arquivo do gerenciador de senhas ou imprimi-lo em papel são boas opções, mas qualquer um deles pode falhar. É essencial ter um backup.
O mesmo cuidado com as senhas também deve ser tomado ao fazer transações. As transações de Signum não são reversíveis. Se uma transferência for feita para uma conta sem uma senha longa conhecida, não haverá como recuperá-la. Ao transferir Signum entre várias contas, certifique-se de que a senha é conhecida para cada uma.
Associar o valor de uma conta a sua senha é uma maneira útil de determinar o nível apropriado de segurança para proteger a senha. Para contas com valores mais altos, tome medidas de segurança mais abrangentes.
Todas as senhas eventualmente precisarão ser inseridas em um dispositivo local para assinar as transações. O dispositivo deve ser protegido contra intrusões e descompromissado por software malicioso que pode registrar pressionamentos de tecla. É possível assinar transações usando um dispositivo que não está conectado à Internet (air-gap) usando o recurso de assinatura de transação offline do Signum para maior segurança.
A seguir estão algumas práticas recomendadas:
- Não digite sua senha em nenhum formulário online.
- Não use carteiras online para contas com um saldo significativo ou que nunca terão um saldo significativo.
- Não altere a frase secreta de 12 palavras gerada durante a configuração da conta (adicionar a ela não é problemático, mas é desnecessário). A senha longa de 12 palavras protege contra Força Bruta E Mesa Arco-Íris ataques.
- Não use caracteres especiais. As representações de código ASCII podem ser usadas, mas são totalmente desnecessárias. Os caracteres Unicode nem sempre são consistentes entre os programas. Observação: o Microsoft Word usa caracteres Unicode. Portanto, não é ideal para compor ou armazenar senhas que contenham caracteres especiais.
- Não compartilhe senhas com ninguém em quem você não possa confiar.
- Não armazene senhas não criptografadas em nós remotos ou estações de trabalho locais.
- Não deixe uma frase secreta impressa ao lado de um computador.
- Use cuidados especiais ao se conectar a nós remotos.
- Use contas com saldos menores para operações diárias. Acesse contas com saldos mais altos apenas quando necessário e com atenção especial à segurança.
- Use discrição ao considerar o software de gerenciamento de senha.
Visão da Signum para segurança
A segurança do Signum envolve mais do que apenas senha e segurança de carteira. Desde o início, a Signum buscou aprimorar a adoção mais rápida da tecnologia blockchain, garantindo o máximo de segurança em todos os aspectos de sua operação. Foi criado em 2014, quando os ataques a redes de criptomoedas já eram comuns. Para manter a rede segura, a equipe de desenvolvimento implementou várias estratégias.
Para evitar ataques conluiados a nós, ataques em que 51% dos nós conspiram para prejudicar a rede, a tecnologia de tolerância a falhas bizantina foi empregada para construir protocolos confiáveis. O foco estava na identificação de nós honestos, definindo um limite superior para tolerância máxima.
Para evitar ataques de negação de serviço (DDOS), todos os nós foram solicitados a realizar a validação de prova de capacidade. A verificação regular identifica e coloca na lista negra nós problemáticos.
Para manter os detalhes privados e os fundos livres de entidades e ataques de terceiros, a rede Signum emprega criptografia avançada. Mesmo quando o envio de fundos na rede, os detalhes não são facilmente revelados.
A natureza das ameaças às redes de criptomoedas muda rapidamente. A equipe de desenvolvimento adotou um sistema de melhoria progressiva que envolve verificações constantes para identificar e corrigir até mesmo lacunas teóricas.
Anatomia de uma frase-senha
O ID e o endereço da conta são derivados de um hash criptográfico permanente e imutável da senha longa de uma conta.
A criptografia de curva elíptica (ECC) é usada para gerar uma chave pública, uma chave privada (para assinar transações) e uma chamada chave de acordo (para criptografia de mensagem) a partir de uma senha longa da conta. Não é necessário entender essas chaves com precisão, pois elas são usadas apenas de forma programática. É a frase-senha de uma conta que permite a interação com o blockchain para fazer transações.
- Uma frase secreta pode ser qualquer string de caracteres. Signum usa 12 seleções aleatórias de uma coleção de palavras em inglês.
- Uma chave privada é um hash criptográfico da senha longa de uma conta.
- Uma chave pública é um hash criptográfico com a chave privada como semente. Ele decodifica como dois endereços públicos intercambiáveis; um número quase exclusivo (ID da conta) e o endereço formatado de Reed-Solomon mais comumente usado.
- Embora a chave pública, a identificação numérica da conta e o endereço RS sejam todos derivados do hash criptográfico da frase-senha de uma conta, a frase-senha não pode ser derivada de nenhum deles.