美国小哥迈克尔(Michael)郁闷了,眼睁睁看着自己电子钱包里的比特币价格蹭蹭蹭往上涨,不断升值,可他却因为忘记密码,导致$300万美元身家被套牢取不了。愁眉苦脸11年后,最近,他终于找到一位高手解锁账号,可他万万没想到的是,绝招竟是:用魔法打败魔法...黑客高手格兰德▼



迈克尔有一个加密货币钱包,里面存有43.6枚比特币。2013年的时候,迈克尔使用密码管理软件RoboForm ,它可以为不同的账户随机创建复杂、唯一的密码,并存储在加密库中,还可以在网站和应用程序上自动填写登录信息。事主迈克尔▼

当时,迈克尔使用了一个包含大小写字母、数字和特殊字符的 20 个字符的密码。为免忘记,他还将密码放入一个文本文件中,随后在电脑上对这个文件进行加密处理。然而不幸的是,不久后,迈克尔电脑里的一个数据保存器损坏了,导致他丢失了密码,最终将他锁定在加密货币钱包之外。迈克尔说:”这时候我就想,好吧,就几千美元,虽然很痛苦,不过还行。但很快,他发现比特币的价格在疯涨,他加密货币钱包的比特币,价值已经涨到将近 $300万美元。这让迈克尔哭笑不得,开心的是,我有这笔财富,我可以看到它;失落的是,因为我没有密码,无法取出来使用它。

2022 年,迈克尔发现黑客大佬格兰德(Joe Grand)帮助另一位加密货币主人找回了 200 多万美元的加密货币,于是他联系了格兰德。黑客高手格兰德▼

不过这位 IT 专家刚开始婉拒了迈克尔的请求,格兰德表示,除非他们能利用 RoboForm 中的一个漏洞,否则他们也无能为力。格兰德指出,由于密码的复杂性,暴力破解密码--生成大量可能的密码列表并逐一测试--是一个不切实际的解决方案。

”如果我们必须尝试所有可能的密码组合,那么这相当于全世界水滴数量的 100 万亿倍。于是,格兰德与他的黑客朋友布鲁诺联手,研究 RoboForm 密码生成器这个软件各个版本的更新日志,希望能找到突破点,他们发现在2015年,软件的版本更新说明中描述道:增加密码生成的随机性。这也就是说,2015年以前的版本生成密码不是随机的,一个时间点对应一个密码。

格兰德解释说:”在一个完美的世界里,当你用密码生成器生成一个密码时,你希望每次都能得到一个独一无二的随机输出,而这个输出是别人所没有的。”




“但在早期版本的 RoboForm 中,密码生成并不是随机的。密码生成器每一秒钟对应生成一个固定的密码,比如说2013年1月1日0时0分生成的密码是固定的,这意味着如果我们能重设密码生成的时间范围,就能找到那段时间里生成的密码。



格兰德将密码生成的时间改回了 2013 年,从而骗过了系统,最后,他们努力生成了数百万个可能的密码,经过不断调试后,终于重新生成了相同的密码。

在成功入侵迈克尔的加密钱包后,格兰德表示:“我们最终很幸运,因为我们的参数和时间范围是正确的。

“如果这些都错了,我们就会......继续在黑暗中瞎猜。网友评论--这个故事的寓意:使用不安全的密码生成器--那个密码生成器真的是每秒钟都会生成一个密码啊。

--密码生成器......你真的只有一个工作!

--这个故事告诉我们:不要攻击密码,攻击创建密码的系统。

--这是使用不安全的密码生成器,罕见的好处之一--兄弟,我只是好奇你的分成是多少,30%?