如何更安全的保护自己资产?我们都必须认识的交易所登入安全架构

中心化交易所发生了那么多问题
黑客入侵,篡改数据,资金挪用等
很多人可能听说去中心化交易所安全
但从来没有人完整解释过去中心化哪里安全?
中心化交易所有短信验证,又有google二次验证
使用起来心理上觉得挺舒服的,挺安心的

区块链时代
我们都必须多认识去中心化交易所
认识它,天生自带的区块链安全架构来保障我们登入安全
认识它,只需要对应你的公钥及私钥签名来证明帐户所有权的概念

下面依序流程会是讲黑客最容易控制我们帐户方法,中心化交易所是怎么应对的,最后到去中心化交易所是怎么应对的。

黑客入侵有两种途径
一。是直接入侵交易所服务器,控制交易所钱包
二。是拦截用户的帐户密码,用拦截的密码控制帐户

这篇我会从黑客最常入侵的角度,也是第二点,黑客拦截用户的账户密码,用拦截的密码控制用户账户

案例一。传统交易所没有加上进一步安全认证的情况

下图是中心化交易所(建议文字搭配图一起看)
可以简单由几个元素构成
用户中心化交易所的界面(我们平时看到价格及进行交易的地方),中心化交易所的服务器(储存我们信息的地方)。

 

中心化交易所

 

当我们要登入时

  1. 用户必须输入帐户名及密码
  2. 把帐户名及密码传输到中心化交易所数据库进行核对
  3. 一旦用户输入帐户名及密码与当初数据库储存的用户注册信息核对成功
  4. 登入帐户被准许
  5. 用户可以进入交易所帐户,做交易

注意:因为用户本地电脑端和交易所服务器端是分开的,每一次的传输密码过程都需要连上网路,从电脑端到服务器端的传输过程是黑客最喜欢攻击的过程,在资讯传输时,帐户密码的封包信息随时可能被黑客拦截,如果拦截成功,用户的帐户就会被黑客盗取了,黑客拥有用户帐户所有权限。

有没有觉得中心化交易所很不安全啊?

案例二。传统交易所加上了二次验证的安全步骤

有鉴于此中心化交易所皆推出了二次验证(建议大家一定要使用)
不管是短信验证还是谷歌验证,都是为了再原有的基础下增加帐户安全
下面会以谷歌验证来做介绍

中心化交易所谷歌

 

一样的步骤,当用户想要登入帐户(不清楚的搭配上图看)

1. 用户必须输入帐户名及密码
2. 交易所收到用户帐户名及密码时不会马上让用户通过,而会告诉谷歌有一个用户想登入了,你帮我验证一下是不是他本人
3. 此时用户必须输入手机上谷歌验证的6位数随机码,与谷歌验证服务器端的随机码对应
4. 再来交易所会同时验证用户提交的密码及谷歌验证码
5. 两者皆一致则认证通过
6. 用户可以进入帐户,做交易

备注:谷歌验证的原理大家可以上网查,简单来说,用户及谷歌服务器会记录一个初始的随机码,初始随机码通过套复杂算法加上时间戳记这三个元素结合后,会同时产生一个新的随机码在用户的手机端(有效期限只有30秒)与谷歌验证的服务器端,如果用户手机端新的随机码与谷歌服务器里的随机码对应上,就能证明登入人与创建用户的人是同一个人

加入了二次验证的中心化交易所就大大提高了安全性,
除非黑客能同时拦截用户传输的密码与谷歌的随机码,要不然基本上无法盗取用户帐户。(再次提醒一定要加入谷歌验证码哦)

案例三。去中心化交易所

讲完了中心化交易所
有发现整个登入安全流程其实和我们使用的网站是一样的
并没有用到区块链的任何技术
还记得区块链的诞生是为了什么吗?
是去中心化,是用代码保证我们的安全
来看一下去中心化交易所是怎么运作的

这是去中心化交易所,非常大的不同点,去中心化交易所没有一个中心化数据库储存用户的信息(包挂密码,身份证,电话等)

去中心化交易所

用户在创建帐户时,将帐户名公开的记录在区块链上,自行保有了自己的私钥密码,不会放在交易所服务器,用户是唯一拥有者

那怎么验证登入呢?
交易所没有储存在服务器里的帐户密码进行核对

其实在去中心化交易所没有登入这个概念,而是用区块链技术证明的概念,有点像是比特币里UTXO的架构,去中心化交易所只认你的公钥与私钥签名(不用担心看不懂,下面会仔细介绍哦)

先想象一下区块链世界,去中心化交易所的世界,再往下看
这个世界有好多用箱子装着的宝物,每个人都可以去拿,每个人都可以去接触它,但每个箱子都有它专属的封条,只有拥有解开封条神器的有缘人,才是箱子的主人,而那个神器就是私钥。

请看一下流程

如果用户想要使用帐户
1. 用户必须输入自己的帐户名及密码
2. 帐户名可以视为公钥,密码可以视为私钥
3. 用户将自己的公钥及私钥的签名传送到链上(公钥与私钥签名,都是经过不可逆的加密算法,所以即使被黑客截获了,也不会产生安全的影响)
4. 用户用帐户名(公钥),和去中心化交易所提出要求,我想要使用这个帐户,去中心化交易所会根据用户提供的帐户名(公钥)调出帐户数据
5. 还记得上面提到每个人都可以接触箱子,但只有拥有神器的有缘人可以开启箱子,用户必须再进一步提供私钥的签名,来证明我就是这个帐户名的唯一所有者公私钥对是成双成对的出现,拥有正确私钥签名才能解锁相对应的帐户(公钥)
6. 公钥与私钥签名两者相符,用户证明我是此帐户的所有者

 

为什么我们说去中心化交易所安全?
其实就是用户在使用去中心化交易所时,不用将自己最重要的密码往外传输,用户传输的是即使被截获也不会造成安全问题的私钥签名及公钥
上面提过私钥签名及公钥是经过不可逆算法加密出来的,无法破解及推到出用户的帐户与密码,去中心化交易所透过这样方式有效防止黑客最常做的拦截密码

最后提醒大家
去中心化交易所是把管理权力归还给大家,但同时大家也承担了保管私钥的责任,如果私钥丢了就真的找不回来了。

廣告

發表迴響

在下方填入你的資料或按右方圖示以社群網站登入:

WordPress.com 標誌

您的留言將使用 WordPress.com 帳號。 登出 /  變更 )

Google+ photo

您的留言將使用 Google+ 帳號。 登出 /  變更 )

Twitter picture

您的留言將使用 Twitter 帳號。 登出 /  變更 )

Facebook照片

您的留言將使用 Facebook 帳號。 登出 /  變更 )

w

連結到 %s