Ono o cemu neki ovde "mastaju" je nesto drugo, to se zove "Phising" i radi se sa specijalizovanim softverom koji ima bazu reci i fraza i koristi ogromni recnik kako bi pokusao da "nabode" lozinku
http://en.wikipedia.org/wiki/Phishing
Dakle morate drugari praviti jasnu lozinku izmedju lozinke tipa John1234 i lzoinke tip Wf06x32i
Da krenem odavde pa ću natenane da editujem post.
Pre svega Phishing ne može da se primeni u ovom slučaju i iz ovoga je već očigledno je da ti nemaš pojma šta je šta i kako se i za šta neke operacije koriste.
Edit 1:
To što ti pominješ se zove rečnički napad (Dictionary attack), pomešao si ga sa Phishing-om, i to je samo jedan od mogućih napada pored napada brute force. Objasniću i to, nismo još uvek dotle stigli.
Najprostije rečeno Phishing se koristi online, recimo simulira se neka web stranica i navodi se korisnik da unese svoje podatke u nju. To može i email-om da se radi ali
nikako ne može da se radi Phishing jedne Windows aplikacije kao što je to neki od wallet-a.
Edit 2: For The Record što bi rekli.
BTC wallet se šifruje AES blok šifrom od 256 bita u CBC modu. Detalje o tome nemam nameru da objašnjavam jer ne razumeš ni ono najosnovnije.
Edit 3: Nešto o napadima
Da ne pišem ponovo, kopiraću ono što sam ranije napisao ali ti to očigledno nisi pročitao ili si pročitao a nisi razumeo.
Polazimo od pretpostavke da je kriptosistem siguran ukoliko je
najbolji poznati napad potpuna pretraga svih ključeva (to se na engleskom zove brute force attack).
Kriptosistem je nesiguran ukoliko postoji bilo koji
skraćeni napad. U praksi je ovo najčešći slučaj koji se koristi. Niko iole ozbiljan ne vrši napad potpune pretrage svih ključeva (brute force). Priučeni "hakeri" da ali to se ne može smatrati ozbiljnim napadom.
O kom skraćenom napadu je reč zavisi od mnogo faktora, a pre svega od šifarskog sistema koji se napada. Najčešće se isprobavaju različite varijante.
Da li iko od vas ima pojma da je Faradejev kavez je obavezan u svakoj ozbiljnijoj kompaniji koja se bavi sigurnošću podataka (PKI sistemi recimo, ambasade, ...)? To je već naučna fantastika za neke pa ne bih da širim priču o tome.
Edit ... mrzi me da gledam koji je
Što se tiče našeg walleta problem nije u AES 256 bitnom ključu, već u tome da je prostor ključeva tog walleta mali i da će posle određenog kratkog perioda ključevi početi da se ponavljaju.
Da bi bilo koji šifarski sistem radio potrebni su mu ključevi. Ključevi se generišu najčešće eksterno različitim metodama i naknadno ubacuju u šifarski sistem (to je najbolji slučaj, sve ostalo su razne implementacije koje skraćuju postupak a to nije dobro). Kada se istroše oni se menjaju tako što se generišu novi i oni se ponovo ubacuju u šifarski sistem. To ovde u softverskoj implementaciji nije moguće odraditi sem nekim konstantnim apdejtom, a znamo da u ovom slučaju on nije konstantan. Na stranu to što se ključevi NE SMEJU slati komunikacionim kanalom (jedno od osnovnih pravila kriptografije). Dakle, postoji određeni broj ključeva koji su smešteni u tzv. key pool i iz koga se "vade". Kada se oni istoše počinje da se koriste iznova a to je veoma loše.
Kako redi CBC mod blokovskog šifarskog sistema možeš pogledati recimo ovde:
http://en.wikipedia.org/wiki/File:CBC_encryption.svg
Ovo što korisnici unose je IV (inicijalni vektor) koji može a i ne mora da bude tajan. To se u softverskoj implementacij ovog walleta zove master key i čuva se samo njegov heš uz pomoć SHA-512 jednosmerne heš funkcije. Šifrovanje se dalje vrši uz pomoć AES 256 bitnih ključeva i oni nemaju veze s onim što korisnici unose jer su već tu u key pool-u. Dakle najveći problem u ovoj implementaciji je key pool.
Drugi veliki problem je način generisanja tih ključeva. To što se koristi softverska implementacija random fukcije je smešno. Ona samo daje privid da su neki brojevi generisani po random principu.
Edit: ...
Da ne širimo mnogo priču dodaću još samo ovo, a ti pitaj posle ako imaš šta da pitaš.
Kako se ovde radi o blokovskom šifarskom sistemu koristio bi se jedan od sledećih napada (naravno, neko pre toga mora da se domogne vaše wallet.dat datoteke).
TMTO (Time-Memory Trade-Off) ili Zavadi pa vladaj (Divide and conquer) metod. Možda čak i neki treći ali trenutno mi samo ova dva padaju na pamet. Detalje o njima potražite sami jer nema svrhe da ih ovde objašnjavam.
Edit: Poslednji, zaboravih ovo za one tvoje passworde
The time to crack a password is related to bit strength (see password strength); which is a measure of the password's information entropy.
In 2010, the Georgia Tech Research Institute developed a method of using GPGPU to crack passwords, coming up with a minimum secure password length of 12 characters
Sada je već 2014. godina.
P.S. Tvoj prijatelj očigledno koristi samo brute force metodu, što me i ne čudi jer se tim poslovima bave najobičniji serviseri telefona (bez uvrede molim) koje sem gotavog softvera za otključavanje telefona i GPU-a koji će da ga "teraju" ništa drugo i ne zanima.