
Apakah Anda pernah lupa pada password Anda? Ya, mengingat password bukanlah perkara mudah. Oleh karena itu biasanya kita memilih password yang mudah diingat. Hal yang demikian juga terjadi pula pada brain wallet, yakni sebuah metode yang menggunakan password yang diingat untuk melindungi wallet. Permasalahannya, meskipun menggunakan kriptografi yang paling canggih sekalipun, hal ini sia-sia karena serangan brute force bisa mengancam penggunaan password yang terlalu sederhana, meski mampu menangkal serangan malware maupun pencurian data.
Kelemahan brain wallet
Sekelompok peneliti telah melakukan riset tentang implementasi brain wallet dan menemukan celah dalam brain wallet. Ternyata, banyak brain wallet telah kecurian dan uang di dalamnya telah dikuras habis oleh pencuri. Hal ini memungkinkan karena pemilihan password yang buruk. Kebanyakan tool yang dipakai untuk membuat brain wallet menggunakan proses yang cukup sederhana. Misalnya, menggunakan sebaris karakter yang dimasukkan pengguna dan menghitung nilai hash nya dengan menggunakan algoritma hash seperti SHA-256. Kemudian, nilai hash ini digunakan untuk membuat kunci privat dan kunci publik. Proses yang sederhana ini membuat siapapun dapat melakukannya, dengan menggunakan sembarang input dan hasil kalkulasi ini kemudian diujicobakan di dalam blockchain. Dengan sedikit keberuntungan, barangkali percobaan tersebut dapat membuka akses ke brain wallet orang lain!
Ryan Castelucci dari White Ops mempresentasikan hasil penelitiannya bulan Agustus yang lalu, dan sebuah penelitian lain akan dipresentasikan dalam 2 minggu ke depan, membahas tentang masalah perlindungan brain wallet dan teknik yang digunakan oleh para penjahat untuk membobol brain wallet. Dia juga telah merilis perangkat lunak yang disebut Brainflayer untuk mengetes password terhadap brain wallet.
Tulisan tentang peretasan brain wallet menunjukkan peningkatan efisiensi dalam ujicoba brain wallet sebesar 2,5 kali dibandingkan bulan Agustus lalu, dan saat ini hanya membutuhkan biaya $1 untuk menguji 17,9 miliar password dengan menggunakan layanan Elastic Computing dari Amazon Web Services (EC2). Castelucci dan para penulis lainnya telah menguji triliunan password dengan total biaya $55,86 dan berhasil membuka 18.000 brain wallet.
Salt
Castelucci menyebutkan bahwa permasalahannya bukan terletak pada brain wallet, melainkan pada implementasi konverter password yang tidak menerapkan teknik kriptografi yang baik sehingga password tidak terlindung dengan baik. Pertama, mereka tidak menggunakan salt, yang berupa data yang disimpan secara terpisah. Salt akan mempersulit hacker untuk menebak password sehingga kombinasi kata kunci semakin besar. Informasi-informasi yang mudah diingat dapat digunakan sebagai salt, misalnya tanggal lahir atau alamat email. Kedua, konverter password dapat menggunakan teknik enkripsi yang menggunakan difficulty agar mempersulit hacker melakukan brute force.
Pencurian wallet
Penelitian lain yang akan dipresentasikan dalam Financial Cryptography 2016 yang berjudul “The Bitcoin Brain Drain” akan membahas beberapa hal, seperti berapa jumlah brain wallet yang ada di dalam blockchain sekarang ini, dan berapa yang sudah dibobol dan kecurian. Castellucci dan beberapa koleganya menemukan 884 wallet yang aktif digunakan pada September 2011 sampai dengan Agustus 2015 dan telah menerima sebanyak 1.806 BTC (sekitar $100 ribu). Mereka bukanlah yang pertama kali menemukan kasus ini. Semua kecuali 21 wallet tersebut telah dicuri dalam jangka waktu 24 jam bahkan dalam hitungan menit. Hal ini menunjukkan teknik yang dideskripsikan dalam penelitian ini merupakan teknik yang sudah umum digunakan.
Jika Anda menggunakan brain wallet, maka Anda harus melihat ulang tingkat keamanan wallet Anda, bahkan jika perlu, memindahkannya ke wallet yang lebih aman.
Sumber: Researchers Find A Crack That Drains Supposedly Secure Bitcoin Wallets
Sumber gambar: bitcoin.cex.io