观点
互联网安全评论员乔·蒂迪(Joe tidy)在为BBC撰写的一篇文章中指出,Twitter遭到黑客攻击意味着Twitter平台本身存在问题。即使twitter继续在其系统周围筑起一道网络安全墙,它也会变得更加复杂和昂贵,但并不安全。当前的中心化式服务范式无法为用户身份验证提供更安全的解决方案。然后,以澳大利亚和欧洲的经验为例,tidy介绍了如何利用区块链技术保护公钥证书不受分布式拒绝服务和中间人攻击,建议软件和社交媒体巨头做出改变,提高安全标准。
墨菲定律指出“任何可能出问题的事情都会出错”,它总是发生在中心化服务中。一年前,我们看到一半的facebook账户在网上泄露,暴露了个人数据。我们会在其他服务中看到更多。最近twitter黑客再次强调了这一点。黑客入侵了埃隆·马斯克、比尔·盖茨、杰夫·贝佐斯、坎耶·韦斯特、金·卡戴珊、迈克·布隆伯格、乔·拜登、巴拉克·奥巴马等账户。他们用HT2(HT4)进行了欺诈性报价。
“许多不同用户同时受到黑客攻击的事实意味着这是twitter平台本身的问题,”BBC的安全评论员乔·蒂迪(Joe tidy)说,“所有账户都很容易受到攻击;对于黑客来说,这只是一个选择问题:利用名人来更好地“识别”欺诈行为。
问题是,即使twitter或其他类似架构的服务继续在其系统周围筑起一道网络安全墙,它也会变得更加复杂和昂贵,但并不安全。当前的中心化式服务范式无法为用户身份验证提供更安全的解决方案。
我最近以澳大利亚和欧洲的经验为例,写了一些可以保护数据和数字身份的新技术,以及如何使用区块链技术保护公钥证书免受分布式拒绝服务和中间人攻击。虽然我的分析很有技术性和深入性,但最好还是退一步,整理一些常见但相关的细节,以加强数据保护。
当询问服务提供商、在线商店或政府是否保护您的个人数据时,您可以使用以下术语:
分布式标识符(did)是W3C的一个通用框架,它有许多方法以去中心化的方式创建和管理个人标识符。换句话说,如果在线服务的开发者想利用去中心化技术的潜力,他们不需要创造新的东西。他们可以使用这些方法和协议。
选择性披露协议(SDP)是areger联合创始人mykhailo Tiutin和他的团队去年在HT1 Hackathon上提出的,是一种在区块链上存储受密码保护的个人数据的去中心化方法(使用did)。有了SDP,用户可以在任何特定的事务中公开精心选择的信息。
简单地说,自我主权身份(SSI)是一个概念,它允许用户成为其个人数据和身份的主权所有者,而不是第三方。这意味着你可以把你的个人数据存储在你的设备上,而不是Twitter或其他任何人的服务器上。为了说明SSI概念的强大功能,请考虑以下陈述:入侵存储数百万个帐户的中心化式系统比入侵数百万个个人设备更容易。但问题更为严重。如果我们面对的是数字专政,问题的根本原因将是缺乏控制和禁止第三方(包括政府)存储和操纵您的个人数据的权利。维吾尔人在中国的可怕实验就是一个很好的例子。公民没有合法权利拒绝政府收集他们的个人资料。当然,中国政府在未经其同意的情况下设立账户,以获取其认为不正当行为的记录。
为了让事情更直观,让我们来看看假设情况。
用例:爱丽丝和她的数字身份
Alice生成她的加密对:私钥和公钥。私钥使用数字签名加密事务;公钥解密事务。公钥用于验证Alice是否已登录、签署合同、签署区块链交易等。
为了保护私钥,她将其存储在具有pin保护的安全硬件设备上,例如智能卡、USB身份验证代币或硬件加密货币钱包。然而,加密货币地址是一个公钥表示,这意味着爱丽丝可以将它用作她的硬币和代币钱包。
虽然公钥是匿名的,但她也可以创建经过身份验证的数字身份。她可以要求鲍勃证明她的身份。Bob是证书颁发机构。爱丽丝将去拜访鲍勃并出示她的身份证。Bob将创建一个证书并将其发布到区块链上。”Certificate”是一个向公众发布的文档:“Alice的公钥是有效的。”Bob不会像今天其他传统的证书颁发机构那样在他的服务器上发布它。如果中心化式服务器在DDoS攻击中被禁用,没有人可以确认Alice的数字身份是有效的,这可能导致有人窃取她的证书并伪造她的身份。如果证书或至少其哈希值在链上发布,则这是不可能的。
有了她的身份证,她就可以进行正式的交易,比如注册一家公司。如果爱丽丝是一个企业家,她可能想公布她的联系人,比如她的电话号码。使用区块链是一个更安全的选择,因为当数据在社交媒体上发布时,黑客可以闯入一个帐户并替换它来将呼叫重定向到另一个号码。所有这些在区块链上都是不可能的。
如果爱丽丝去了酒类商店,她可以用经过验证的酒。卖家Dae将使用其应用程序来验证和确认Alice的身份,而不是她的纸质身份证。Alice不需要透露她的姓名和生日。她将分享鲍勃的认证标识符,她的照片和“超过21岁”的声明与戴夫的应用程序。Dae信任这个记录,因为Bob是一个证书颁发机构。
Alice可以为在线购物、社交媒体和加密货币交换创建假名。如果她丢失了私钥,她会要求Bob更新他在区块链上的记录,以声明“Alice的公钥无效”因此,如果有人偷了它,与她的公钥交互的每个人都会知道,他们不应该信任使用该密钥的事务。
当然,这是一个简化的方案,但并非不切实际。此外,其中一些过程已经存在。例如,爱沙尼亚电子居住卡只不过是带有用户私钥的智能卡。有了这张卡,你可以在爱沙尼亚远程注册一家公司,甚至可以签订合同。爱沙尼亚的数字签名已融入更大的市场,并在整个欧盟得到认可。不幸的是,中国政府仍然不保护区块链上的证书。
知识就是力量。用户应该知道,正如有人所说,网络安全不仅掌握在他们手中。软件和社交媒体巨头应该做出改变来提高安全标准,用户也应该要求这样做。
文章标题:网络安全评论员:利用区块链技术避免twitter黑客攻击
文章链接:https://www.btchangqing.cn/67958.html
更新时间:2020年07月21日
本站大部分内容均收集于网络,若内容若侵犯到您的权益,请联系我们,我们将第一时间处理。
