Bitcoin Forum

В связи с отсутствием узкоспециализированной темы по краже аккаунтов bitcointalk и превентивным мерам, решил поднять этот вопрос.

Прошу писать в эту тему:
-Личный опыт потери акка (как у вас его сперли(взломали), схему, чтобы можно было понять, что дело "пахнет керосином" и вовремя принять меры).
-Какие меры предпринимаете по противодействию взлому (советы по безопасности, которые работают)?
-Как удалось обхитрить мошенника (как был найден болт с резьбой на хитрую гайку)?
-Ну, а если не получилось избежать "бяды", то вам в тему "Восстановление доступа к учётной записи" (https://bitcointalk.org/index.php?topic=2197357.0)

-----------------Советы по безопасности----------------------
ПАРОЛИ
(правила для паролей почты, аккаунтов... пригодится везде)
1) Для вашего аккаунта, почты ... придумайте сложный пароль (лат.буквы в разном регистре и цифры) более 20ти знаков, например: hBpE2Pms756j3kfe9w2hm6nf (учитывайте ограничения на длину и ограничения на символы для паролей движков сайтов и баз данных).
2) Пароль не должен быть частью, какого-то старого пароля (от начала до конца, он должен быть новым).
3) Пароль должен быть бессмысленным, т.е. не должно в нем быть слов и слов с подменой символов (например: bitc0inP@rol)
4) Не используйте в пароле дату своего дня рождения и номера телефона или автомобиля.
5) Не используйте придуманный пароль/логин в учетных записях на других ресурсах (пусть у каждого сайта будет свой уникальный пароль).
6) Иногда меняйте пароль на новый(не ленитесь  ;) ).
7) Не сообщайте свои пароли посторонним.
8) Старайтесь не ошибаться при вводе паролей на сайтах, т.е. не перепутайте пароли (например, вместо нужного ввели свой пароль от почты), их могут собирать для дальнейшего взлома. Будьте внимательны.
9) При больших и сложных паролях, для ввода используйте буфер обмена, не мучайте себя  ;)
ПОЧТА
(ваши почтовые ящики)
1) На почте обязательно используйте двухфакторную аутентификацию.
-Например, регистрируете в почте номер своего сотового и при каждом входе к вам прилетает SMS с доп.кодом для входа. Без него не войдете. Или создаете одноразовые пароли и используете их, как доп.средство защиты.
2) Не вводите свой основной адрес почты, где попало (регистрация на сомнительных ресурсах, подписка на рассылки), используйте другую для этого почту.
3) Для каждого проекта используйте новый почтовый адрес.
4) Не тыкайте на все ссылки подряд в приходящих письмах, с помощью данных ссылок мошенник может:
-Вычислить ваш реальный IP и произвести атаку.
-Загрузить на вашу машину зловредную программу.
5) Будьте очень аккуратны при запуске вложений в письмах, за обычным запущенным документом может стоять макрос, который загрузит и запустит вирус или шифровальщик. Сейчас такие письма хорошо маскируются под гос.органы или ваших знакомых. А вложения, под счета, платежки, реквизиты, судебные документы, фотки, договоры и т.п.
6) В настройках почтового клиента надо отключить просмотр писем (тело сообщения) в виде HTML страницы, и включить простой текстовый. (Защита от межсайтового скриптинга (https://ru.wikipedia.org/wiki/Межсайтовый_скриптинг)).
7) Остерегайтесь почтового фишинга (https://ru.wikipedia.org/wiki/Фишинг), это когда к вам шлют письма от имени почтового провайдера, от интернет-магазинов, да от любых известных вам сайтов, сервисов, банков, этого форума и просят поменять пароль, либо прислать им конфиденциальную информацию. Вы переходите по присланной ссылке, попадаете на копию сайта(подделку), вводите пароль.... драматическая пауза ... и офигиваете от последствий через некоторое время.
8) Держите свою почту в чистоте. Удаляйте письма с важными/конфиденциальными данными, предварительно их сохранив, куда-нибудь. В случае взлома, там не будет храниться ничего ценного.
ХРАНЕНИЕ УЧЕТНЫХ ДАННЫХ
(ваши логины и пароли, секретные ключи, сертификаты ...)
1) Если храните информацию в текстовых файлах то:
-Бэкапьте их (резервируйте).
-Храните в запароленном архиве (это даст "некую" защиту от воровства).
-Если комп общий, используйте внешний накопитель для своих файлов.
2) Так же можно использовать флэш-накопители с шифрованием (не путайте с запароленными флэшками в Windows).
3) Есть программы хранения паролей, например: KeePass Password Safe (присутствует портативная версия, которая работает без установки). Все хранит в зашифрованном виде и под паролем. Или подобная ей программа KeePassX . В них же есть генераторы надежных паролей, которые подойдут не только для их создания, но и для понимания, какими пароли должны быть.
АККАУНТЫ
(bitcointalk, почты, и любой другой)
0) ВНИМАТЕЛЬНО, очень внимательно смотрите на адресную строку сайта в браузере, перед тем как ввести туда свои логин и пароль. Сайт может быть лишь копией-подделкой для выуживания ваших учетных данных. Это тоже фишинг (https://ru.wikipedia.org/wiki/Фишинг), но уже с помощью поисковиков. Например, ввели в гугл (да простит меня яндекс) название своего сайта. Он у вас высветился первой строкой, вы на него клац и попали. А как "ПОПАЛИ" зависит от вас. Сайт может быть копией. Выяснить это можно только жадно вглядевшись в адресную строку и проверив все до буковки, для пущей уверенности можете проверить ещё и сертификат сайта, там же в строке. Так вот, если адрес отличается от оригинала, значит это подделка.
Заранее сохраните свои ссылки на свои сайты, чтобы не искать их снова и снова. Делайте закладки в браузере.
1) На этом форуме тоже могут использоваться фишинговые ссылки (в сообщениях, темах, подписях, в личных сообщениях), поэтому будьте бдительны, сомневаетесь - не тыкайте :) Либо проверьте специальным сервисом, см. дальше в тексте.
2) Когда заканчиваете работу с форумом, почтой ... обязательно нажимайте на LOGOUT (выход), чтобы удалились ваши текущие Cookie (https://ru.wikipedia.org/wiki/Cookie), это затруднит их угон.
3) Внимание! Заранее привяжите свой аккаунт к bitcoin кошельку, восстанавливать будет проще (точнее без привязки, может и не получится восстановить).
-Шаг 1
Заполните свой профиль.
Зайдите к себе в профиль на форуме, нажав на пункт "PROFILE".
В нем нажмите "Forum Profile Information" и в строку "Bitcoin address:" занесите свой bitcoin кошелек.
(Если хотите, то можете добавить свой кошелек в подпись "Signature:")
Сохраните изменения и проверьте нажав на "Summary". Ваш адрес кошелька должен отображаться.
Если вы отправите адрес своего bitcoin кошелька, кому-нибудь через личные сообщения (MY MESSAGES), то это тоже сохранится и будет дополнительным подтверждением. Можете отправить мне (https://bitcointalk.org/index.php?action=profile;u=1120646) с сообщением:
Не потеряйте доступ к этому кошельку в будущем, это нужно для доказательств.
Даже если его сменят после взлома, то его можно увидеть с помощью Wayback Machine https://web.archive.org внеся туда ссылку (в этой машинке можно сделать снимок своего форумного профиля заранее, когда внесете в него все необходимые данные).
-Шаг 2
Подпишите сообщение с помощью своего кошелька bitcoin для доказательства того, что вы им владеете.
Для этого нужен автономный кошелек "bitcoin core" (качается отсюда https://bitcoin.org/ru/download).
а. Зайдите в кошелек "bitcoin core" в меню "Файл" выберите пункт "Подписать сообщение...".
б. Там три строки. В первую строку вставляете свой BTC адрес (или выбираете его из ранее использованных). Кошелек из профиля!!!
в. Во вторую строку пишите, примерно такое сообщение со своим форумным ником и датой: Hi, I am "свой ник" on bitcointalk.org "дата месяц год прописью"
г. Нажмите на "Подписать Сообщение" и со строки "Подпись" скопируйте всё получившееся.
*Если у вас другой bitcoin кошелек, то бегите в тему "How to sign a message?!" https://bitcointalk.org/index.php?topic=990345.0 и ищите там мануал на то, как подписывать сообщения в др.кошельках. Крайне необходимо использовать только те кошельки, которые могут подписать сообщение (по последним данным, криптонатор этого не может).
-Шаг 3
Защитите свой аккаунт.
Идите в тему "Stake your Bitcoin address here": https://bitcointalk.org/index.php?topic=996318.0 и публикуйте сообщение со своими данными, чтобы ваше сообщение мог процитировать другой участник на случай взлома вашего акка (защита от подмены кошелька и сообщений). И не забудьте процитировать сообщение предыдущего автора, иногда нужно проверять их данные с помощью сервиса https://brainwalletx.github.io/#verify (старый coinig.com уже не работает). . Примеров там уйма, разберетесь.
Пример, вашего сообщения (скопируйте строки из вашего кошелька после подписи сообщения,не меняйте там ничего и пишите в теги "code"!):
------------------------------------------------------------------------------------------------------------------------------
Please verify and quote, thank you!
------------------------------------------------------------------------------------------------------------------------------

Вот в такой форме и публикуйте свои данные, следующий участник должен их проверить на https://brainwalletx.github.io/#verify и процитировать заверив "Quoted and verified with <ссылка на ваше проверенное сообщение(из адресной строки браузера)>", так же поступите и вы с предыдущим участником темы ОБЯЗАТЕЛЬНО!
-Шаг 4
Эта информация полезна для вас? Отблагодарите автора топика!
Принимаю :
1) Merit+
2) BTC (кошелек в моей подписи ниже)
3) Либо делитесь своим опытом.

ПРОДОЛЖЕНИЕ НИЖЕ ...

СОФТ
(ваши любимые программки скачанные с Интернета, ежедневно используемый софт)
1) Вспоминайте о троянских программах, вирусах, шифровальщиках, червях, когда ставите очередную программу на свой комп.
-Старайтесь не "загаживать" свой валютный ПК, где вы занимаетесь торгами, работой с этим форумом и т.п. Если у вас установлена хотя бы одна ломанная игрушка, то есть куча гарантий, что в ней, "что-то уже сидит".
-А если вы работаете под очередной "легкодоступной" Windows, то вспоминайте о заранее зашитых бэкдорах (https://ru.wikipedia.org/wiki/Бэкдор).
2) Если закачиваете программы, то старайтесь загружать их с сайтов создателей (официальных сайтов).
3) Особо критичное программное обеспечение (кошельки, хранилища паролей, терминалы дистанционного управления) должны иметь открытые исходные коды (https://ru.wikipedia.org/wiki/Открытое_программное_обеспечение) и загружаться с https://github.com или с подобного ему ресурса.
4) Если загружаемая программа имеет на сайте контрольные суммы (https://ru.wikipedia.org/wiki/Контрольная_сумма) наподобие MD5(устарело) или SHA256 ( хеш-суммы (https://ru.wikipedia.org/wiki/Хеш-сумма) ), то после загрузки обязательно проверьте файл на совпадение с его контрольной суммой специальной программой. Пример проверки кошелька bitcoin core: Verifying Bitcoin Core (https://bitcointalk.org/index.php?topic=1588906.0) . В общем, проверяется целостность файла на предмет повреждения или подделки данных (кошелек это или "троянский коншелек"  :) ). Вот программы для вычисления и проверки контрольных сумм (http://forum.ru-board.com/topic.cgi?forum=5&topic=5201&start=0), изучайте, выбирайте.
5) Используйте проверенные временем антивирусы и фаерволы (https://ru.wikipedia.org/wiki/Межсетевой_экран). Некоторые антивирусы содержат в себе фаерволы, т.е. не нужно будет докупать ничего лишнего (проверяйте это заранее).
6) Своевременно обновляйте свои операционные системы, интернет браузеры и почтовые клиенты (бреши в безопасности должны устраняться в первую очередь).
7) В операционных системах для работы используются учетные записи (https://ru.wikipedia.org/wiki/Учётная_запись), самые важные и "всемогущие" из них (суперпользователи) именуются следующим образом:
-root в системах GNU/Linux и macOS.
-Administrator в системах Windows.
Не работайте под ними в повседневной деятельности, создайте гостевую или урезанную пользовательскую учетную запись для таких целей (без админских прав), это в какой-то степени уменьшит риск заражения вирусами, потери данных и т.п. Т.е. если у вас мало прав, то и у программы, которая запустится в вашей учетке тоже они будут отсутствовать. А админскую учетку лучше выключить.
ИНТЕРНЕТ КАНАЛ
(Это то, через что вы выходите в Интернет: WiFi, Ethernet, Dial-Up, ADSL, оптоволокно ...)
1) В закусочных, на вокзалах и др. подобных местах предоставляется "халявные" WiFi точки, и некоторые из них не защищены (или слабо защищены), все передается в открытом виде (можно перехватить ваши логины/пароли и все остальное), либо не пользуйтесь ими для серьёзных дел, либо дополнительно шифруйте трафик. Так же обращайте внимание на SSL защиту у сайтов. Есть у сайта SSL сертификат или нет (это можно увидеть возле адресной строки браузера).
2) Всё тот же общественный WiFi, но уже с другой стороны. Если точка доступа (публичный WiFi) взломана злоумышленником и взята под контроль (т.к. часто используются старые или "дыряво-дешевые" WiFi рутеры) то он может осуществить не только снифф (прослушку) трафика (всех людей кто подключен к точке), но и переадресовать его на фишинговые сайты (подменить DNS), которые замаскированы под ваши кошельки и биржи. Помимо переадресации, могут взломать ваш бук (планшет) или причинить ему ущерб. Бонус для тех, кто читал внимательно, сервис для проверки фишинговых ссылок: https://transparencyreport.google.com/safe-browsing/search вставляете подозрительную ссылку в строку и жмете Enter. Вот ещё такой же сервис: https://www.virustotal.com/#/home/url
3) Когда не используете Интернет, лучше его отключать (самый лучший фаервол - это выдернутый ethernet кабель (или выключенный WiFi, BlueTooth)).

1. Ваши советы и особенно конструктивная критика - ПРИВЕТСТВУЮТСЯ.
2. Если вас мучают вопросы по 2FA и др.способам защиты на форуме, заходите в тему: Защита аккаунта bitcointalk (https://bitcointalk.org/index.php?topic=2956161.0)

Дело в том, что пострадавшие либо совсем не разбираются в этом вопросе и никак не могут прокомментировать произошедшее, либо немного разбираются (Амаклин, Ярёмо, Матвеевка) - но молчат как партизаны даже если прямо спросишь.

А есть советы как всего этого избежать ? киньте ссылочку плз.

в первую очередь я думаю нужно что бы был хороший пароль,и данные от аккаунты нигде не вводить

С этого и начнем.

А где в Инете можно найти генератор безопасных паролей? Имеется ввиду проверенный временем генератор, либо приложение. Чтобы наглядно увидеть, какими должны  пароли быть.

Какая максимальная длина пароля у этого SMF 1.1.19 форума и какие спец.символы можно использовать?

Старый движок форума обсуждают тут: https://bitcointalk.org/index.php?topic=279407.0

А на сколько вообще сейчас актуально проблема увода акков? Уводят все подряд или старичков?

Сомневаюсь что аккаунты новичков могут чем то заинтересовать этих товарищей, а вот на счет частоты таких случаев самому интересно ::)

Да ссылка не помешала бы где об этом почитать

Надежней всего привязать аккаунт к биткоин-кошельку. Если у вас есть кто-то из знакомых на форуме, то можно договориться друг другу в личку скинуть адреса кошельков, тем самым вы всегда сможете подтвердить, что с вашего аккаунта личным сообщением был отправлен код вашего кошелька. А история личных сообщений всегда сохраняется.

А как связать аккаунт где можно прочитать процесс этого можно ссылку?

А если всё-таки украли , можно как нибудь вернуть ?

Автор сообщения описал процесс привязки, в личном сообщении скинуть свой адрес BTC кошелька(ков) своему товарищу, история переписок сохраняется, и указав эту информацию админу/модератору (мол, в личных переписках были такие-то адреса, примерно тогда-то, прошу вернуть мне мой аккаунт), это сильно поможет при восстановлении доступа.

Я правильно прокомментировал?

Вам в тему "Восстановление доступа к учётной записи": https://bitcointalk.org/index.php?topic=2197357.0

Ну думаю, что угоняют только старенькие и то если пароль меняешь то на почту ссылка приходит и тем самым сам форум нам безопасность предоставляет.

Для форумного аккаунта я использую новую почту, которую вообще нигде не светил. Так сказать во избежание. Потому, что даже основная почта периодически где то светится. Для баунти и аирдрпоов. вообще использую другую почту. Отдельную.

Добавлю в советы по безопасности в начало темы.

От себя добавлю, что пользоваться желательно gmail привязанного к телефону. Тогда никто на почту не зайдет с другого компа.

Зайти смогут, если создадут клон симки (через подручных у оператора) и "свиснут" уч.данные. Но это, видимо, затратно, и ради мелочи никто не будет шевелиться. Это пока из раздела "фантастики". И врятли практикуется...
А за добавку, спасибо.

Ну и перехватить смс могут. Но кто будет париться ради нашей мелочи. Вот у кого они реально знают, что есть большая сумма, тогда в работу входят профи.

Первый раз вообще вижу чтобы угоняли аккаунт на форуме, кому он вообще нужен? если только с хорошей репутацией и прочими делами тогда да, но такой человек думаю должен сам понимать что нужно соблюдать меры безопасности

Аккаунты на форуме угоняют, причем очень активно и стоят они на черном рынке очень дорого, особенно если аккаунт продается с почтой бывшего собственника. Если продается только логин и пароль, то аккаунт легко могут забанить при первой смене данных, так как на почту упадет письмо о смене данных и если это сделали не Вы, то Вы переходите по ссылке и баните аккаунт (ссылка действует 2 недели). В случае бана или угона, пишите Администрации они Вам его восстановят, есил Вы подписали сообщение и тому есть пруфы на форуме, в ином случае Вам не помогут.

А если в той теме не отвечают? У меня украли аккаунт и я очень хочу его вернуть. Могу доказать что мой. Помогите пожалуйста.

Странно зачем угонять  аккаунт форума без почты регистрационной?

Потому что есть функция изменить почту((
Я и заметила, что у меня украли аккаунт, когда на почту пришли письма, что поменяли почту и пароль. А как вернуть непонятно(((

А куда писать? В теме не отвечают. И админы не отвечают. Я уже не знаю, что делать((

 Уже не фантастика. У чела в соседней ветке увели с кошелька всего 200$ под эту тему

Здесь тему создайте: https://bitcointalk.org/index.php?board=24.0 и предоставляйте пруфы, что аккаунт действительно Ваш.

Никаких генераторов не нужно. Просто нажимаете в произвольном порядке на клавиатуре буквы большие и маленькие, цифры и символы, типа "!" или "№". Длина - от 20 символов и выше.

Сейчас не угоняются аккаунты, а банятся от администрации из-за этого, что их несколько на одном IP.

Вы в каком смысле? Иметь несколько аккаунтов на одном IP не запрещено. Если банят один, то и другие полетят, это да.

У вас с почтой угнали?

Без вашего подтверждения по почте, саму почту не могли сменить в аккаунте.

Длину пароля увеличил в советах темы.

Почта и пароль запросто меняются без каких-либо подтверждений на почте! Благо 18 октября, хотя бы стали оповещать об изменениях и увидев данное письмо вы сможете заблокировать аккаунт.

Если это так, то это полная жесть!
Но без знания текущего пароля, нельзя установить новый пароль и сменить почту. Верно?

Это плохо. Скиньте ссылку.

Нельзя. Ставьте на почту 2фа, ставьте антивирус и правила работы с куками, сайт в закладки и тогда Ваш пароль никто не вынет.

Для аккаунта на биткоинтолке как я понимаю - самое лучшее средство это установить очень сложный длинный пароль на вход, с использованием различных символов, верхний и нижний регистры, цифры, буквы и все вперемешку. Не менее 30 символов в длину. И такой же пароль чтобы был на привязанной почте.

Остальные пункты в начале темы Вам тоже не помешают.

"Молодых" часто игнорят.
Попробуйте сходить в тему https://bitcointalk.org/index.php?topic=1167972.0;topicseen

Не думаю,что такие существуют

Конечно отдадут, после оплаты  ;)

Надо предварительно делать привязку к кошельку, тогда проще будет вернуть. Процесс конечно занимает некоторое время, но администрация адекватно реагирует и идет навстречу.

Внимание, добавлена информация по привязке Вашего профиля к кошельку BTC! Привяжитесь обязательно!!!

не думаю, что ты тут таких встретишь)

Спасибо автору за советы. В моем случае комп общий и про сторонние носители как-то не задумывался, прятал в папках-папках...а так куплю флешку и все дела :)

Мне кажется главное регистрировать аккаунт с gmail почты, которая защищена подтверждением по телефону, тогда даже в случае, если на форуме ломанут, вы оперативно измените пароль, т.е. главное - защитить почту.

Не забывайте резервировать данные, куда-нибудь (флэшки ненадежны).

Можете не успеть, привяжите акк обязательно.

Прочитайте:
https://bitcointalk.org/index.php?topic=2714740.msg28165717#msg28165717

Двухэтапная авторизация при входе в почту это понятно.
Но на форуме нет такой опции. Как защитить свою страницу от смены почты?

Никак (кроме сложного пароля :) ), можно упросить восстановление. Прочитайте начало этого топика.

зачем использовать в инете генератор?
используй KeePass, он и хранилище и генератор, а базу храни где-то офлайн

Спасибо. Генератор понадобится на первое время, чтобы человек посмотрел, как надо ваять пароли, потом сам сможет. Ну а как хранилище использовать KeePass..., есть открытые исходные коды у этой программы?

ну конечно https://github.com/keepassx/keepassx
пользуюсь больше 10 лет

Просто нет слов от избытка благодарности! Самая крутая тема на форуме.
Еще можно добавить : вводите пароли копипастом из Блокнота, а не нажимая клавиши. Уже миллионы паролей так похитили!

Без генератора паролей никуда, обязательное присутсвие в пароле букв, цифр и символов.
И конечно же как можно длинее должен быть пароль  ;)

Прежде всего установите сложный пароль, содержащий цифры, символы и буквы в разном регистре.
Даже 8 символьный пароль, содержащий вышеперечисленное, взломать брутфорсом нереально)
И самое главное, не попасться на фишинг.

длина пароля может быть ограничена самим движком форума

Задавал такой вопрос в этом сообщении: https://bitcointalk.org/index.php?topic=2714740.msg27890075#msg27890075
пока никто не ответил.

Эммм. Кейлогеры не только клавиатуру сканят, но и буфер обмена. А что-то ещё есть? Расскажите...
Большие пароли только через буфер можно ввести :)
Про копипасту добавлю обязательно :)

 :) Пока писал ответы, пельмени убежали...
Сейчас догоню их, допишу...

Думал уже, написать немного про фишинг через сайты и почту, значит время пришло...

Добавил раздел про софт. Давно для всех не секрет, что есть в скачанных с Инета "левых" программах всякая бяка. Пусть будет напоминанием.

Я тоже однажды нарвалась на иак называемую копию

Как это было? И что получилось в итоге?

Дополнил информацию по привязке аккаунта к кошельку.

скажите, а как почту можно перевязать к своему аккаунту?

Аунтификация по номеру телефона возможна? Не нашел что-то.

Здесь еще нет двухуровневой защиты, если не ошибаюсь

Двухфакторки здесь нет, но вы можете поставить ее на почту. В случае угона, вам на почту придет письмо что на вашем аккаунте произошли изменения данных, вы его быстро баните и восстаналиваете через администрацию.

у меня на почте есть значит можно не беспокоиться?

С аккаунтом Jr Member я думаю беспокоится не стоит а вот по старше, так там и почта может не спасти. Ее могут изменить сразу вместе с паролем

Почта используется только при регистрации. И то никаких подтверждений не отсылается. Т.е. не будет вам писем с подтверждениями, при взломе вашего акка и смене почты, возможно только уведомят и все.

Привяжите к биткоин кошельку аккаунт, как написано в этом топике (в начале), без этого с восстановлением будут проблемы.

Чего ещё не хватает в этом топике по вашему мнению?

Вроде всегда уведомляют, можно восстановить будет при попытке угона.

Обновлена информация связанная с софтом.

Добавлено в тему.

Описать в теме, как чистить кэш браузеров ручками (где хранятся и копятся временные данные сайтов)?

Жаль, но привязки по телефону тут нету:) А было бы не плохо!

от себя добавлю что способ восстановления работает только с локальным кошельком или на блокчейне, если у вас был кошелек где-нить на сервисе, как у меня на криптонаторе - то тут наврядли кто-то сможет помочь, я писал просьбы на форуме, по два письма личных в день админам, толку нуль целых хр*н десятых, можете не ахаться, не поможет. В ветке МЕТА висит просьба от легендарного аккаунта, и висит она уже два месяца, чел там постоянно пишет чтобы ее вверх поднять.

Т.е. восстановление работает только с тем кошельком, который может подписывать сообщения или выдавать приватный ключ для последующего подключение в другой кошелек для подписи, верно?

Ставить сложный пароль , чтоб и цифры и буквы были. Ну как уже кто-то писал , что не вводить пароль , если и зашли то не где не сохранять свои данные.
Почту мне кажется привязывать бесполезно к аккаунту

Даже не представляю как обидно, когда у тебя аккаунт с отличной репутацией, которым пользуешься годами. Взломали и не вернуть ... опытные пользователи крайне редко думаю обжигаются на этом .

Хороший материал,  фишинга я давно начал боятся и не просто так.
Есть разширения для браузера,  которые блокирывали сомнительные сайты..

с учетом что полистав ветку МЕТА там висит легендарка уже два месяца с подписанным сообщением, то думаю тут без вариантов разблокировки

И каким нибудь парсером можно вытянуть пароль, лучше все таки телефон привязывать.

у меня есть доступ к учетке, я в нее захожу спокойно, пароль сменил сразу после взлома, но вот проблема - аккаунт в режиме чтения, и фиг что сделаешь, админы тупо игнорят, даже не отвечают ни в личку, ни на письма на электронку. а они единственные здесь кто может разблокировать, а вот заблокировать - тут народу вагон и пару маленьких тележек с горкой

Так не должно быть. Сколько у вас эта "чехарда" с руководством форума продолжается?

Должны же, что-то придумать. С нашей стороны, надо сделать всё заранее, а потом с них спрашивать.

попробуйте написать админам и вы увидите что вас тупо проигнорируют, по любому поводу, единственные человек который мне ответил это супер модератор, но у него нет права разблокировать аккаунты

Прочитал, в целом полезная информация.Еще предлагаю добавить в стартовый топик, подроздел софт -
1)Пользоваться нормальным антивирусом, к нормальным относить касперский и нод, возможно и другие сейчас точно не скажу может и изменилась ситуация, но знаю раньше  эти 2 лидировали, а немало других и бесплатных антивирусов были не очень -много пропускали вирусов.В любом случае или вы или ваша девушка - ребенок может сесть за ваш комп и чего-то накачать.
2)Включать обновления винды и прочего софта как браузеры.(когда взломали днс энтердельты мои браузеры не пускали меня никак ,даже если нажать исключение, я хотел посмотреть курс токенов а не входить - не смог, а другие жаловались что они заходили на подмену днс и теряли эфир и токены, значить у них были старые браузеры скорей всего.)
3) не сидеть под админом, а под юзером обычным тогда чтобы запустить ехе файл попросит пароль админа, и если не вы за компом или файл запустился без вашего ведома то пароль естественно не будет введен и изменения в систему не будут внесены.
4)  не входить в систему  с вай-фай бесплатных т.к. там идет передача всех данных в том числе логинов паролей через это соединение.

Тема превратится в "общую компьютерную безопасность" помимо защиты аккаунта форума  :) Да и пусть, если вам это нужно, пусть будет. Позже занесу в шапку, спасибо.

Не переходите по сомнительным ссылкам со своего аккаунта на форуме. Прогоняйте их через песочницу.

Добавил в шапку.

Внес в советы.

тогда дам еще один - не ставьте сомнительное ПО на пк с которого выходите в интернет, в частности если у вас хром или опера, могут угнать все пароли которые там хранятся

Давно пора добавить на сайт двухфакторную аутенфикацию. Это уже не просто плюшка, а вынужденна необходимость!

попробуй это админам преподнести, они не слышат простых смертных, только модераторов и легендарных...
а в реальности - было бы конечно не плохо иметь 2фа авторизацию, но боюсь местная администрация упрется рогом в землю, есть бтс кошель, есть правило подписи сообщения - это закон!!! Все остальное - разработка которая будет принята лет через ...цать когда нам оно уже наф*г не нужно будет

По подробней пожалуйста, хоть у хрома и оперы закрытые исходники, но они считаются надежными и шустрыми браузерами (если есть оперативка (RAM) с запасом).
Нужны ссылки, или известный вам случай опишите... .

P.S.
У хрома, вроде открывали уже исходники....

По поводу генератора паролей. Есть отличная прога keypass. Она и генерирует и хранит вашу БД паролей. Навигация удобная, прога легкая. Базу желательно копипастить на несколько носителей воизбжании потерь всего и вся. Если вы можете запомнить пароль - это очень плохой пароль

О программе уже упоминали, а вот про генератор забыл, спасибо, что напомнили, внёс.

к сожалению ссылки не осталось откуда качал прогу

Я о том как с хрома и оперы могут стянуть пароли или случай, который это подтверждает. Без этого я не смогу написать в топике, что хром и опера - фигня, нужны доказательства. Сможете их дать?
А программа мне не нужна.

Конечно, если вы не параноик, то это не значит, что за вами не следят) Вот страху то в ветке развели. Да 99 % аккаунтов, что здесь пишут, нафик никому не нужны (в том числе и мой)). А ценные аккаунты пользователи со стажем уж как нибудь сами защитят ))

Может введут новые меры безопасности, ту же смс подтверждение входа.

Так пусть и поделятся опытом старожилы форума. Когда-нибудь и ваш аккаунт станет ценным.

Просто так не введут, нужны связи, нужны бабки. По другому не протолкнуть здесь, что-то новое . Связи в приоритете.

---

В начало этого топика добавлены сервисы по проверке фишинговых сайтов (ссылок на них). Читайте внимательно, сервисы в тексте  ;D .

Привязка к телефону решила бы уйму проблем! Я лично использую разные ноутбуки(один для кошельков один для сёрфа и один отдельный для баунти, причём купить их по дешёвке можно довольно быстро)

Не привяжут к телефону, не выгодно для них.

Нет необходимости вводить. По большому счету это всего лишь форум. Да, здесь многие зарабатывают деньги, но это не сайт банка. Спасение утопающих, дело рук самих утопающих )) Зачем администрации лишние заморочки?...да и накладно это.

Тогда уж привязать к гугл-аутентификатору или при заходе с неизвестного ранее IP, запрашивать подтверждение на почте, что это действительно Вы. Или пойти еще дальше и проще, при смене данных на аккаунте, отправлять письмо на почту перейдя по которому вступят изменения в силу, иначе все останется прежним. Пока лишь при смене приходит лишь сообщение, что если это сделали не Вы перейдите по ссылке и заблокируйте, а потом начинается головняк с восстановлением, это и Администрации не удобно - лишняя трата времени... Но судя по -большему количеству нововведений в последнее время, данные методы защиты не за горами  ::)

Если у меня онлайн кошелек гринадресс. Его нельзя прикрепить?

Посмотрите мануал в "How to sign a message?!" https://bitcointalk.org/index.php?topic=990345.0
Там куча кошельков.
Если его там нет и вы не можете подписать сообщение, тогда попробуйте вытащить из своего кошелька приватный ключ и вставить его в автономный кошелек "bitcoin core", либо сразу там все и сделать без импорта приватных ключей только изменив адрес. Или другой кошелек попробуйте. Зависит всё от ситуации, хотите старый адрес придется повозиться. Хотите новый, просто смените кошелек, если текущий не подходит.

Мммм, а на этом форуме принято не возвращаться в тему, где писал(а) ранее?

Обновлен топик в разделе "Интернет канал".

Было бы неплохо привязать к аккаунту 2fa google authenticator, как уже писали выше, с возможностью работы с ним или без него.
и можно будет не опасаться фишинга и брута

Давно уже пора вводить коды или пароли по смс . Как на биржах и прочее ...

Автору спасибо за информацию, давно её искал, особенно про подписи на талке от кошелька. Отправил вам благодарочку +1Merit  ;)
Надеюсь, что тема будет наполняться дальше, ведь материал важный и акутальный

Это врятли сделают. Но можете попробовать написать администрации форума.

Це жестко как говориться, безопасность необходима, особенно если есть что терять. Настоятельно рекомендую по возможности это сделать

Не все следуют вашему совету, только когда "жестко" прижмет, тогда начинают аккаунты привязывать, правила безопасности блюсти ... .

Если аккаунт угнали, то его уже не вернуть. Этот у меня новый, старый угнали. Был слабый пароль.

А прикрепляли аккаунт к кошельку?

Верно пишите, только смена почты в аккаунте с подтверждения по почте была бы доступна, было бы шикарно. Попробую поднять этот вопрос.

---

Поднял вопрос по 2FA и дополнительной защите аккаунтов перед администрацией, заходите: https://bitcointalk.org/index.php?topic=2956161.0

используйте KeePass и забудете все проблемы с паролями аккаунтами и их  хранением и упорядочиванием.
 

Прочитала тему. спасибо. делаю выводы, хоть и запоздалые. Один из авторов написал, что джуниору за свой аккаунт беспокоиться не стоит. не согласна. Во-первых, это мое время и труд и по-иоему каждому будет жаль  своего аккаунта. каким бы он рангом небыл.

по ошибке во время регистрации ввела вместо логина почту. значит ли это,что меня легко взломать??

Всем привет. Мой случай уникальный. У меня  сегодня ночью увели сразу 3 аккаунта рангом member. Прошу бывалым оказать информационную помощь в виде советов по уже произошедшей ситуации, для меня важна каждая рекомендация. Прошу даже не начинать тему продаж аккаунтов потому, что я их использовал исключительно для баунти.
Я как и многие, правила форума читал по факту необходимости, а не как надо было. Поэтому многие значимые вещи узнал после кражи.

Что сделал

• обезопасил максимально почту двухфакторкой, длинным сложным паролем, привязкой к телефону(я считал, что почта это мое все и при любом взломе мошеннику придется подтверждать действие через почту, но я ошибался, нужно было читать правила форума) и хранил пароли от почты на флэшке с бэкапом
• я использовал 2 компьютера с разными провайдерами, один для одной учетки, другой для двух
• на фишинг попасть не мог 100%
• никогда, никому не отправлял пароли от форума через почты, соц. сети и др.

Чего не делал:

• не заполнял профиль информацией и не подписывал сообщение с помощью кошелька
• я хранил пароли от учеток на компе в текстовом файле и это как мне кажется было самым большим упущением, что думаете?
• не завершал сеанс логаутом
• пароли от аккаунтов были простые, по типу jjkkll29888

Несколько фактов:

• первоначально пытались сменить пароль от почты
• смена паролей произошла за 3,5 минуты
• с аккаунтов посты не писали, подписи не меняли, старые сообщения не удаляли
• письма с требованием выкупа на почту не отправляли
• аккаунты я все заблокировал по ссылкам из первоначальных почтовых ящиков
• замененные почты указали все разные, делали это все с 1 айпишника

Для меня непонятными остаются несколько фактов:

• зачем угонять аккаунты и не писать требование о выкупе, если нельзя угнать почту?  Ведь есть ссылка на блок аккаунта.
• я склоняюсь к получению доступа к файлу и не представляю сложность процесса воровства информации из файла. Мне непонятно, приложенные усилия стоили такой наживы?
• трудно поверить, что кому-то понадобились мои акки с рангом member.

Вот что есть у меня из доказательств. Я знаю, что все они почти невесомые. Но у мошенников ничего нет.

• все почты на которые регистрировались учетки остались при мне
• от всех аккаунтов существуют авторизационные и отчетные посты на форуме. В них и в таблицах баунти заполена информация в виде: имя профиля-сылка на профиль-телеграм-адрес ETH кошелька. Доступ ко всем кошелькам, к почте, к телеграмм только у меня. Также есть различные подтверждения: в кабинетных баунти, в копиях заполненных заявок, которые приходят на почту в момент регистрации в некоторых баунти
• наглядный и доказуемый факт смены почт и паролей со всех профилей за несколько минут с одного айпишника. Есть новые почты. Как думаете, стоит доверять поиск инфы по электронке таким сервисам: https://www.emailsherlock.com/emailsearch/saisonxd17@gmail.com ?

Как то так, друзья.
Пока администраторам и в теме Meta не писал, хотел услышать мнения, стоит вообще пытаться? А то на форуме позитивных решений при отсутствии подписанного сообщения не найти или люди на радостях забывают отписаться, что вопрос улажен.

на самом деле если у вас почта gmail и хороший сложный пароль по типу "GawjFNWAflAKWdfn123faFHA" у вас не смогут угнать аккаунт

Один совет: не вводите свои реально используемые пароли при регистрации на сайтах-аирдропах, они вполне могут оказаться мошенническими и угнать ваши аккаунты.

Со слов форумчан, есть очень негативная практика по восстановлению аккаунтов. Если даже с привязью к кошельку не хотят иногда восстанавливать. То что говорить о том случае, когда этой привязи вообще нет. Попробуйте написать, всегда надо пытаться. Может другим способом можно доказать, что акки ваши.
А так надо поднимать новые. Только вот с прокачкой... *опа.

Из-за участившихся угонов была поднята тема https://bitcointalk.org/index.php?topic=2956161.msg30341786#msg30341786

Чтобы расследовать ваш случай нужен доступ к логам сервера, а доступ только у самого админа сервера. Где он, кто он, не известно. И будет ли он этим заниматься, тоже покрыто мраком.
Инструкция по восстановлению доступа: https://bitcointalk.org/index.php?topic=2197357.0

Угоняют аки в основном с помощью почты доступ к которой у взломщика появляется после того как слили базу данных, как в свое время у яхоо или путем фишинга. может есть еще и другие, но я их не знаю)

Спасибо, приятель. Ты занимаешься добрым делом. Я первый раз встречаю тот случай, когда на почту не приходят подтверждения о смене почты.
Я все на форуме уже перерыл и позитив есть только у пары человек, как-то грустно от этого

пусть уж лучше аккаунт ньюби или джуниором остаётся, старше джуниора в баунти почти никогда не требуют

может и мне подскажете (может мой печальный опыт кому полезен будет)... при покупке стоял макэфи, приятель его "типа снес" и посоветовал поставить касперского. Скачала с оф. сайта бесплатно на 3 мес. и произошло непоправимое. Как я понимаю, макэфи никуда не делся и вступил в конфликт с касперским, итог - слетело все нафиг безвозвратно с последующей переустановкой, включая 1-с и всякое нужное! Не повторяйте моих ошибок! Теперь вопрос: почему нужно привязать именно биткоин кошелек, почему mew для этих целей не подойдет? (просто пока только он в наличии) Заранее спасибо.

Ну тогда придется все время за гроши трудиться, мала вероятность участия в подписных (там минимум мембером нужно быть) и вообще, плох солдат, не мечтающий стать генералом!))) (читай Легендари)

Так заведено здесь, привязывать BTC кошелек. На другие тоже привязывают, но случаи по восстановлению с помощью других кошельков мне не известны.

Если есть желание, то поучаствуйте в продвижении вопроса защиты аккаунта, напишите в тему Защита аккаунта bitcointalk (https://bitcointalk.org/index.php?topic=2956161.msg30341786#msg30341786) или в американские ветки админов.

Если вы ввели в логин mrsbloom@rambler.ru (вместо логина при регистрации) и аккаунт привязан к mrsbloom@rambler.ru, то все зависит от стойкости вашей почты (используется ли на ней 2FA и подобное). Но в основном ломают акки не через почту, а прямо через сервак, где находится этот форум, как я понял, если не ошибаюсь  ;)

Опишите примерный процесс взлома с помощью почты, если требуется ввести логин и пароль при входе на форум? Пароль и логин от форума знает только пользователь (если пользователь заблаговременно удалил письма приходящие с форума).
-Тут только один вариант, восстановление забытого пароля через почту. Появляется такая возможность при входе на форум. И...

Немного личной паранойи размышлений на тему:
1. Пароли вообще не стоит хранить в цифре. Нигде и никакие. Лучшее место - Ваша голова, но, если память не гроссмейстерская, подойдет какая-нибудь тетрадочка (естественно, глупости со стикерами, прилепленными на монитор и "засвеченными" на видюхах, или там потерянным в кафе органайзером не рассматриваем: в плане обращения с тетрадочками тоже действуют элементарные правила здравого смысла).
2. Скорее всего именно слабый пароль и послужил "воротами" для взломщиков: комбинации типа jjkkll29888 можно получить банальным перебором. Т.е. взломали просто учетку на форуме. И если пароли у трех аккаунтов были схожи, это упростило задачу.
3. Я сильно сомневаюсь, что "воротами" послужил файл с паролями на компьютере: в таком случае взломщику логичнее было бы сразу обратиться к Вашему кошельку (и прочему имуществу), а не ломать аккаунты мемберов. Если, конечно, текстовый файл содержит не только пароли от форума (знаю, что многие в таковых держат чуть ли не всю подноготную) или аналогичные файлы с паролями от "имущества" находятся на той же машине.
4. Количество используемых компьютеров и провайдеров не так важно - важна защищенность компьютеров (прежде всего компьютеров). OS семейства Linux, роутер, настроенный лично Вами (https://bitcointalk.org/index.php?topic=2944516), соблюдение правил сетевой безопасности (в числе коих не только противодействие фишингу, но и упомянутый логаут) сделают больше, чем надежда на единственного Касперского на какой-нибудь дырявой старушке WinXP.
5. Если хакер хотел получить аккаунты для перепродажи, ему незачем требовать выкупы - тем более, что речь не о легендари, а о простых мемберах.


Тут могут быть варианты:
- хакер просто был не в курсе про блок;
- хакер просто пробовал свои силы - и заодно развлекался;
- расчет хакера был на то, что пользователь либо не имеет доступа к почте, либо не додумается заблокировать аккаунт (судя по тому, что хакнутые аккаунты периодически всплывают на форуме, такое случается).


Зависит от того, чего добивался хакер.


В таком случае прочтите пост (https://bitcointalk.org/index.php?topic=2197357.msg24135819#msg24135819) (и этот (https://bitcointalk.org/index.php?topic=2197357.msg24407395#msg24407395) заодно). Надежда вернуть аккаунты таки есть.


Тут не могу ничего сказать - не знаю.:) Но скорее всего информацию сервис ищет по открытым источникам, а если хакер не дурак, он никогда не станет "светить" в таковых свои реальные данные.

Спасибо, что поддержал мое сообщение и отразил свое мнение.

Пароли были слабоваты, согласен. Тут фишка в том, что у меня увели 3 из 3 аккаунта в одну ночь одним человеком. Вот это меня парит.


Спасибо, уже все перерыл на форуме и эту тему тоже читал В словах xandry есть позитив, но на всем форуме его к сожалению нет.

хотелось бы увидеть двухфакторную авторизацию на сайте, на подсоединенном адресе электронной почты двухфакторка установлена
(читая тему нашла информацию. что можно восстановить аккаунт по адресу биткоин-кошелька, буду изучать вопрос дальше!!!)

Дело, безусловно, сложное, и успех, увы, не гарантирован. Но Вы можете хотя бы попытаться.:)

Почему на форуме не введут двухфакторную авторизацию? Были ли хотя бы попытки улучшить защиту?

Вам надо заглянуть сюда: Защита аккаунта bitcointalk (https://bitcointalk.org/index.php?topic=2956161.msg30341786#msg30341786)

---

Обновлен топик в разделе СОФТ, добавлены программы для вычисления и проверки контрольных сумм файлов.

Успехов, но не забудьте подписать сообщение в кошельке и продублировать это на специальной теме форума (описано в этом топике в разделе аккаунты).

Не думаю, что конфликт двух антивирусов мог нанести непоправимый ущерб, тут что-то другое. А если это правда, то тогда в топку оба антивируса, виновны оба.

Может конфликтовала неудаленная служба McAfee с касперычем. Там и BSoD мог спокойно вылезти. В таком случае данные целыми были, все можно было восстановить.

---

Обновлен топик в разделе аккаунты.

---

Фулл мембером, как минимум надо быть, там ограничения снимаются по работе с форумом, что дает поляну для различных маневров.

Блиин такая сложная система по защите аккаунтов,я слышал что акки воруют но так же слышал что восстановить ил тоже тяжело,спасибо за инструкцию буду максимально защищать свой аккаунт..

Когда проведете привязку аккаунта к кошельку, поймете, что сложного в этом мало. Пока всё в новинку, то кажется сложным.

Что добавить нового в советы по безопасности? Чего вам не хватает в них?

Насколько я понимаю больше ценятся аккаунты выше джуниора. Но, в любом случае спасибо за нужную и полезную информацию, а то как-то начитался и задумался о своем аккаунте.

Как и раньше писал, что аккаунты растут, ценность повышается, лучше заранее думать о безопасности.

Рекомендую всем посетить топик Защита аккаунта bitcointalk (https://bitcointalk.org/index.php?topic=2956161.0), там обсуждаются вопросы 2FA старого форума, и ввод нового форума.

Чтобы угон аккаунтов не случилось, не нужно вводить непонятно где, свой логин и пароль от биржы и обязательно нужно смотреть на адрес биржы.

Во первых все нормальный люди добавляют в закладки нормальные сайты , что бы не попасть в фишинговые ) во вторых нужно делать нормальный пароль , из цифп букв и знаков . И в третьих не нужно качать всякую хренотень из инета

Возможна ли аутентификация по номеру телефона?

Верно.

---

Обновлен топик в разделе аккаунты.

---

Нет, но можете поучаствовать в этом.  Защита аккаунта bitcointalk (https://bitcointalk.org/index.php?topic=2956161.0)

Добавил часть вашей информации в начало топика.

Повторяю вопрос...

Спасибо, за такие подробные советы.

У меня вопрос по поводу пароля - обязательно делать пароль в 20 знаков или можно 8 , но с буквами, цифрами и знаками.
Спрашиваю, т. к. когда генерирую такой пароль, то в генераторе пишет - "время взлома - века"

Аккаунт моего друга увели у него на глазах. Восстановить доступ у него так и не получилось  :-\

В ПЕРВУЮ очередь как сказано привязать аккаунт к кошельку как было сказано тогда гарантировано восстановишь даже если угонят

спасибо, хорошая статья. Меры предосторожности нужно соблюдать всегда, обидно будет если акк с хорошей репутацией уйдет огородами ((  :-\

Про угон акков как-то не задумывался, теперь надо себе сделать защиту на всякий случай.
Кстати указанный сервис http://coinig.com не работает. Есть какие-то аналоги?

Вот тут (https://bitcointalk.org/index.php?topic=990345.0#post_verify) есть список аналогичных.

Теоретически - чем сложнее пароль, тем лучше. Но на практике подбирают пароли(bruteforce) не часто, в основном пароли сливаются при помощи троянов(сливают сохраненные в браузере пароли, копируют файлы по расширению и расположению) или ведут вас по ссылке на фишинговый ресурс.
Во всяком случае форсировать пароль лишним не будет.

Привет. Хороший топик, но возник вопрос. Скачал я кошелек bitcoin-0.16.0 и кошелек electrum-3.1.1. Потом решил проверить их на вирусы на сайте https://www.virustotal.com. Результаты следующие:
- по bitcoin-0.16.0

https://s10.postimg.org/yublskk15/image.png (https://postimg.org/image/4cvr10wo5/)

- по electrum-3.1.1

https://s10.postimg.org/3ncyorbl5/image.png (https://postimg.org/image/ezpk6jk9x/)

В каждом файле куча вирусов и троянов (5 и 8 штук соответственно). Как это можно объяснить? Или все-таки лучше устанавливать старые версии этих кошельков? Но тогда вопрос, откуда их скачивать?

Скиньте кто нибудь ссылку  безопасный генератор паролей, безопасность должна стоять на первом месте, так - как был уже негативый опыт

Ложным срабатыванием. Такие сервисы обычно используют версии движков антивирусов, отличные от десктопных, а у них это не редкость (в принципе, в этом плане должно привлечь внимание уже то, что разные антивирусы дают разных "троянцев" - как будто в этом маленьком инсталлере клубок вирусов). Но Вы можете проверить файлы на десктопных антивирусах - на всякий случай (особенно, если не уверены, что скачали их с официальных сайтов).


Каждая новая версия любого кошелька содержит кучу исправлений безопасности, и используя старые версии, Вы в перспективе делаете свою крипту более уязвимой. Иногда не стоит спешить с обновлениями из-за различных багов, но как правило более новая версия хороша не только тем, что она более новая.


Так придумайте пароль сами. Случайные символы в разных регистрах + цифры + специальные символы, перемешанные в пеструю белиберду длиной знаков так в десять-пятнадцать. Это не так трудно, как может показаться на первый взгляд.


Не уберегут от фишинга и прочей соц. инженерии. Лучшая защита - Ваша внимательность.

Все равно как-то странно все это. Наверное все-таки безопасней пользоваться он-лайн версией кошелька пока не разберутся со всеми этими фиксациями троянцев в установочных файлах.
А есть какая-то  он-лайн версия кошелька биткоина, с помощью которой можно сформировать подпись в сообщении?

Смотря с какой точки зрения безопасней.:) Среди всех кошельков именно онлайн-версии считаются наименее надежными.
Да и если троянцев в установочных файлах таки нет, ожидать, что с ними разберутся, можно до второго пришествия (https://github.com/spesmilo/electrum/issues/3198).
 

Посмотрите здесь (https://bitcointalk.org/index.php?topic=990345.0).

Страшно! Сейчас только поняла, что мой детский аккаунт тоже может представлять интерес для угонщиков. Всё таки не мало стараний я приложила для поддержания активности, обидно, если всё пропадёт. Начну делать всё, как описал ТС. И очень благодарю ТС за заботу!

Там описывается устаревшая модель кошелька Blockchain, но в современной модели интерфейс совсем другой.

Не когда,не храните данные на телефоне или на компьютере и всё будет хорошо.

+пользуйтесь счетами и керосиновыми лампами.
С такими советами от крипты мы снова к натуральному обмену придем.

Похоже, Вы только картинки просмотрели. Современная модель рассматривается в разделе Blockchain.info v2 2016.05.11 (https://bitcointalk.org/index.php?topic=990345.0#post_bci2).

Похоже, что вы далеки от представления о реальной ситуации в этой сфере. Зайдите на сайт  Blockchain.info и сравните с той ссылкой, которую вы мне даете. За 2 года там изменилось абсолютно все  и эта информация устарела еще год назад.

Вот эта информация (https://bitcointalk.org/index.php?topic=990345.msg18991565#msg18991565) устарела год назад?


Лады. Лезу. Даже кошелек создаю (хотя не пользуюсь этим сервисом).
Вот что показывают мне:

https://s8.hostingkartinok.com/uploads/images/2018/03/7f6c064207b9ce4360c9f5ff661203e5.png

У Вас что-то другое? Тогда рекомендую проверить адресную строку - вероятно, Вы находитесь на фишинговом сайте.

Благодарю автора, шикарно все расписано! С этого должен начинать каждый регистрирующийся мем. Пойду пошевелю дему с двойной защитой. А то мериты ввели, а защиту не не надо... дурость какая то

Восстановление через администрацию правда практически бессмысленно и занимает пару месяцев в лучшем случае.

Из личного опыта, если у Вас мыло на gmail - обязательно делайте двойную аутентификацию, в прошлом уже погорел на этом(( теперь только так! :-[

Я бы также посоветовал зарегаться на отличной почте для форума и поставить там все виды защиты, так будет тяжело взломать

https://brainwalletx.github.io/#verify

Я еще слышал про то, что брутят форум и получают за раз сотни, а то и тысячи логинов и паролей. Как они это делают и как этому противостоять? Неужели в любой момент мой пароль и логин могут оказаться у злоумышленников?

Используйте локальные программы для генерирования, он-лайн генераторы не используйте.
KeePass Password Safe - https://keepass.info
KeePassX - https://www.keepassx.org


Сразу предупрежу, качайте с официальных сайтов исходники, и проверяйте их контрольные суммы (на проверялки сумм в начале этого топика ссылка есть).
Ложные срабатывания будут. Но лучше перебдеть, чем недобдеть  ;D

К счастью по дефолту не ставлю пароли менее 15 символов

У меня биткоин кошелёк на сайте Blockchain, но там постоянно адрес кошелька меняется, как быть в таком случае? какой адрес кошелька вводит?

Всегда пользуйтесь дуэтапной верифекацией, если она конечно же есть.
А так генерируйте пароли через генератор или просто стуча по клавиатуре и записывайте их туда, где никто не найдет.

К несчастью этого может оказаться мало. Ставьте более 20ти.

Лучше локальный, программный, пусть и много место занимает.

Ваш логин виден всем. Брутфорсу, в данном случае, можно противопоставить только сложный пароль.

BTT позволяет ставить 256-битный пароль (64 символа), состоящий из строчных букв и цифр. А если добавить прописные буквы и спецсимволы, стойкость пароля может увеличиться до 400 бит.

Для примера:

Если и этого мало :), можно влепить в пароль ещё скобки, пробел, подчёркивание и верхние ANSI-символы. Стойкость пароля при этом увеличится до 500 бит.

Пример:

главное не пользоваться помоему виндой как перешол на мак больше года ни биржи не ломали ни кошельки а на винде дважды((

Просто на разный сайта при  регистрации использовать разные пароли, и вы в разы обезопасите себя от взлома

Не стоит использовать одинаковые пароли,ходить по левым ссылкам/сайтам и всё будет нормально.

На всякий случай спрошу,если я использую разные пароли на разных сайтах,возможен ли взлом?

зависит все от сложности пароля, рекомендуется менять его раз в несколько месяцев

всегда создаю сложные и разные пароли. и плюс записываю их..)сложно запомнить)

Очень полезная тема, спасибо. Лично сам использую пароли с высокой энропией и двухфакторную аутентификацию, этого должно вполне хватить если не нажимать все подряд.


Есть специальные генераторы для паролей с высокой энропией, такой пароль не возможно взломать, если только не получить к нему доступ.

Кстати было бы здорово, если бы двухфакторку прикрутили бы на форум! Это значительно повысило бы безопасность форумчан. У моего друга как то увели акк. Правда потом вернули после долгого общения с администрацией.

Не нужно ставить простые пароли на аккаунт. Или самому придумать сложный или воспользоваться спец. программой генератора паролей. Усложнять доступ, вводя двухфакторку наверное будет неудобно ни администрации, ни самим пользователям. Это же не он-лайн банк, а всего лишь форум.

А сколько у бирж проблем с юзерами, которые не бэкапят коды восстановления двухфакторки? Намек уловили?

Подскажите пожалуйста. Я так понимаю, что на этом форуме нет двухфакторной авторизации? Т.е. здесь обычная защита по паролю + почте?

Да нету но неплохо бы добавить ее сюда!

Серьёзно украли акаунт. Может стоит регулярно менять пароли и делать их тяжёлыми используя буквы цифры а так же различные символы. И тогда избижите кражи. Простые меры и акаунт в безопасности

 KeePassX - менеджер паролей. Генерирует пароли (разной сложности по желанию) и хранит их в файлике в зашифрованном виде. На компе или флешке.

прежде всего нужен длинный пароль

Генератором паролей тоже пользоваться не рекомендую. Нужно придумать самому и где-то записать, и не хранить его на компьютере.
И проходить по подозрительным ссылкам

Пароль должен быть сложным и почаще его менять.

Так подскажите пожалуйста, если я уже привязал биткоин форум к одной почте,могу ли я теперь поменять почту и привязать этот же аккаунт к другой?

Да, можете.

Да, я тоже не советовал бы пользоватся генераторами различными. Самому нужно придумывать

Эйрдропы не заполняйте с тем же емэйлом и паролем, что и для btt. Многие из них просто сливают данные.

везде одно мыло и пароль используют только самые умные люди ;D

Прикрутили бы админы двухфакторку на форуме - ряд вопросов отпал бы сам собой.

я в профиль засунул ссылку с  blockchain.info ;D а адрес там оказалось меняется
bitcoin core не хочется чот качать(150 гигов) а есть что то на мобильный поменьше? чтоб можно было подпсиать? или трезор если такое умеет то его купить могу

Если бы они такое сделали то отпали бы все вопросы по безопасности и наступил бы рай. Но ёжикам надо жрать кактус поэтому нет.

Старые адреса на blockchain.info так же активны, т. е. получить биткоины, предоставив старый(сменившийся) адрес вы можете.
более подробно:
https://support.blockchain.com/hc/en-us/articles/210353663-Why-are-my-bitcoin-and-bitcoin-cash-addresses-changing-
по отправке со старого адреса - где то в управлении адресами можно настроить

ну я его вижу так то) но подписать с него не могу

Спасибо, очень актуальная тема и полезные советы! Особенно важными эти меры предостороности стали после введения на форуме системы меритов, когда стоимость аккаунта любого ранга кратно возросла...

ну хз :)
можно задать вопрос саппорту, чтобы самому не копаться в интерфейсе

Никто кроме вас самих о безопасности думать не будет. Поэтому нужно принимать меры предосторожности. Благо они известны и здесь подробно расписаны.

В любом случае нужно всегда следить за сообщениями по email, а также сделать электронную почту с лучшей защитой. А также нужно менять сложные пароли на bitcointalk. Таким образом вы должны вовремя среагировать, если кто-то будет пытаться взломать ваш аккаунт. А с восстановлением уже взломанного аккаунта проблем намного больше. Реально геморрой если обращаться к администрации.

полезная инфа, мне кажется даже не новичок все знает из этого?
то еще один вопрос, если угнали, то как вернуть?
система защиты такая себе....

наверное никак. от этого походу здесь не обезопасишься..

Должен быть сложный пароль. Пароли надо хранить отдельно на флешки или на съемном жестком диске

Внимательно прочтите эту тему (https://bitcointalk.org/index.php?topic=2197357.0).

ну может и так. я на флешке храню отдельной, и редко ею пользуюсь чтобы не заразить

Наткнулся на эту тему (https://bitcointalk.org/index.php?topic=2851296.0) в мете, и чет пригорел. Может кто прояснит, как такое возможно?

Кратко. Один хиро мембер забыл пароль от акка, восстановил его с помощью восстановления пароля и секретного слова и его аккаунт "временно" заблокировали для "проверки вручную". Заблокировали почти 10 месяцев назад (август 2017). И заблокирован он до сих пор.

За это время парень высылал битки с адреса, который был в истории его сообщений (неизмененный), снимал видео, как высылает, писал администраторам не один раз. У него статический ip, за него заручились как минимум дюжина высокоранговых пользователей (подтверждают, что он это он). За всё это время парень не получил никого ответа. Его аккаунт до сих пор заблокирован.

Собственно, как такое может быть!? Я не понимаю. Но я понял одно:

Никогда не восстанавливайте пароль с помощью секретного слова!

А что тут прояснять?
То, что не стоит устанавливать аккаунту секретный вопрос, написано рядом с формой для установки секретного вопроса. Ибо в дальнейшем, при попытке этот самый секретный вопрос использовать, аккаунт будет заблокирован в целях безопасности (блин, да я ж это уже сегодня не первый раз пишу (https://bitcointalk.org/index.php?topic=3077537.msg39020311#msg39020311)).
Собственно, это и произошло в данном случае.
Ну, а то что администрация не отвечает - тут две версии:
 - парень таки делает что-то не так;
 - парню просто тотально не везет.
К слову, в случае типа этого блокировку могут снять и глобальные модераторы (https://bitcointalk.org/index.php?topic=2197357.msg34268799#msg34268799). Соответственно, скорее всего верно первое.

Есть такие спецы. что если они захотят как бы ты не старался они тебя взломают!!!

Если он что-то делает не так, почему б ему не ответить?

Спасибо, Эсмантра! Я думаю тебе определенно стоит стать хранителем истории и традиций форума. Можешь дать ответы на всё :)

немного притушил пукан и уменьшил красный шрифт в посте выше

Если ты про ответ вообще, то SaltySpitoon ему ответил на третьей странице темы (https://bitcointalk.org/index.php?topic=2851296.msg31355285#msg31355285).
Если же ты про ответ конкретно администраторов (theymos'а или Cyrus'а), то тут вообще может быть миллион причин - от несоблюдения процедуры до банальностей вроде "слишком заняты/отвлеклись/задолбалоэтовсевосстанавливайтесьсами".


Чего их хранить-то? Они и сами отлично сохраняются.:)

Да, мне удалось прочитать, что там было написано - и даже не использовать для этого reply. Ctrl и колесо мыши правят миром!

Всё равно хочется больше обратной связи от администрации. Хотя ответ и понятен, но парня реально жаль.


Искать тоже надо уметь :) а перед тем как искать, надо еще и знать, что ищешь.


Ну нет, тут не все так просто. Хороший пароль защитит от брутфорса. Останется ломать либо сам форум, либо почту, либо пк пользователя. Самое простое - социальная инженерия и взлом старых акков, если испольщуешь один пароль на всех сайтах (когда регался где-то давно под тем же ником, то проще взломать старый не обновляемый сайт и вытащить из него логин-пароль). Для более серьезных методов проще и дешевле нанять пару людей, которые приедут к тебе домой и взломают тебя, так сказать, вручную.

Ломают легко и различными методами, хороший пароль не панацея. Угнать могут пароли и через впн, и через зараженный роутер, через запущенные трояны.

Это всё я отнес к взлому пк. Да, так можно угнать у кого-то пароль. Но это сложно сделать у конкретного пользователя. То есть выбрать жертву и взломать её. Это очень сложная задача, если жертва соображает в ИБ.

Как я понял, сложный пароль не панацея. Пароль могут сбрутить, все зависит от скорости перебора у хакера, главное это не светить мыло на который зарегистрирован ваш аккаунт.

если очень захотят взломать то взломают, а так генератор паролей в помощь)

можно создать левый MEW кошелек взять из него пароль поменять пару символов  и вставлять его куда тебе угодно,вот тебе и надежный пароль.

Спасибо за полезную информацию. Только не понимаю, зачем угонять аккаунты новичков? Те же аккаунты можно ведь и самому создавать. На счет сложности паролей думаю бесполезно, ломают не случайным подбором предпочтений создателя аккаунта, а скорее трояном через почту. Двухфакторка по-моему должна в наше время стоять везде, а не только на почтах, где собрана какая-либо информация.  ;D Автору спасибо!

Как я понял в последнее время, то есть с момента появления баунти компаний , очень много аккаунтов начали взламывать, их потом продают на всяких черных рынках

Спасибо за инфу,есть новые моменты

Отличное решение и от генератора независим!

выглядит так, будто автор данного поста решил собрать побольше информации о пользователях форум и потом заниматься взломами или же спамом :D

читал что также мерой предосторожность служит привязание к акк биткойнталка своего кошелька  :)

Надо использовать отдельную почту и 2-х фактурную , пароль хранить отдельно на флешки

Скажите, пожалуйста не нашла такой ответ, возможно ли поменять электронную почту аккаунта?

Можно )

Скажите пожалуйста, вы серьёзно? Подскажите как) или где искать информацию.

Горизонтальное меню наверху > "Profile" > "Account Related Settings". Там вбиваете в поле "E-mail" новый e-mail, вводите внизу, в поле "Current Password", Ваш пароль от аккаунта и нажимаете "Change Profile".

https://s8.hostingkartinok.com/uploads/images/2018/06/56b8b62940e56bc2a6d6ff31cfee8b2d.png

Рекомендации (на всякий случай):
1. Использовать отдельный e-mail, который нигде не "светится" и применяется только для регистрации на bitcointalk.org.
2. Ни в коем случае не снимать галку с пункта "Hide email address from public?".
3. Ни в коем случае не использовать секретный вопрос (раздел "Secret Question").

Это наиболее действенная мера. Вот в русскоязычной ветке Защита форумного аккаунта по блокчейну (https://bitcointalk.org/index.php?topic=2811311)

да защитить свои данные целое искусство
я даже читать устал
походу я сегодня начну это делать только завтра закончу

Спасибо большое, для меня это очень важна информация, спасибо за ваше неравнодушие.

Ничего в этом сложного вообще нет. Не светите свои данные где-то, и никто не взломает аккаунт.

Если только хакеры не украдут базу данных с логинами и паролями)

А можно разве угнать акк на форуме, не угнав почту к нему?

Можно получить доступ к почте, не угнав её. Бывает и такое.

Ценность аккаунта бтт разная, в зависимости от ранга, но обезопасить свой конечно не помешает.

Кстати, где можно посмотреть стоимость аккаунтов?
Что за биржа акков?

Всем кто читает данный топик:
Что вам не хватает здесь, касательно безопасности?

В обем порожняк полный. Ак фиг восстановиш. Модератор молчит. Всем пофигу. Все как всегда. Вот только пользовать мой угнаный ак я не дам. Под каждым сообщением этого kljdkfjg-дона буду писать, что акк он угнал. А так хочеться почистить ему 345-бало. Но это интернет и с этим ничего не поделаеш.

У меня первый аккаунт взломали,потом писали смс,отправьте 100$ и мы вам вернем,я короче забила и новый аккаунт создала,теперь все делаю и пароли разные особенно,а так был пароль один на все :)

как такое возможно, не понимаю. получается что даже не засветив почту можно потерять аккаунт?

Честно говоря мне сложно представить как можно потерять аккаунт. Ведь это уже безалаберность.

Лучше озаботьтесь его трастом. Красный рейтинг от "художнегов" из DT-списка сделает больше, чем бездоказательные обвинения с риском угодить в бан за спам и троллинг.


Да куча сценариев:
 - Слабый пароль, подбираемый брутфорсом. Почта не нужна.
 - Возможность прослушивать траффик пользователя (например, посредством внедрения в домашнюю сеть). Почта не нужна.
 - Доступ непосредственно к компьютеру (от физического доступа до "вирусного"). Почта не нужна.
 - Перенаправление на хакерские DNS через роутер. Почта не нужна.

Если подумать, здешние аккаунты не так уж и сильно "привязаны" к почте. Если бы после каждого чиха действия в профиле требовалось подтверждение по почте - тогда да. Но тут лишь сообщают о самом факте смены пароля или e-mail. Ссылка на блокировку и то в прошлом году только (https://bitcointalk.org/index.php?topic=2282758.0) появилась.

Да это все равно мало кому поможет. Те кто не внимательны все равно будут терять аки

А меня вообще, после заполнения полей "Secret Question" и "Answer" в профиле и смены пароля на более сложный, перестало пускать на форум. Восстановился по почте и теперь не лезу в эти два поля. Очевидно это мой "везучий" случай, обходить "секретные слова".

не думал, что тут тоже есть такие заморочки) ну хотя да, акки с хорошими рангами хороших денег стоят

Ну знаете, всяко бывает... вот знаю одного сеньера у которого угнали акк не смотря на всю осмотрительность и осторожность и сами ж понимаете, сколько сейчас такие акки стоят. А у другого товарища мев успешно взломали 9поучаствовал в дропе, пришло немного эфира и все токены с кошелька уплыли). Так что, кто чем промышляет здесь на форуме, а нам всем нужны подобные знания, автору - респект!

Я читал что еще уводят при покупке акка. Типа просят данные, делают замену и пропадают.

На всякий случай рекомендую разместиться и здесь https://bitcointalk.org/index.php?topic=2811311 (https://bitcointalk.org/index.php?topic=2811311)

А куда вставлять подпись с биткоин кошелька?

так что есть кто у кого угоняли профиль???

Конечно, особенно если это мембер и выше. Потом продают аккаунты эти

Давно акк потеряли?

А что безопаснее?

1) Залогиниться один раз в почту и оставить сессию (не делать логаут).
Тогда не надо каждый раз вводить пароль и его не украдут кейлогером.
Но вроде как-то могут упереть куки...

2) Каждый раз после пользования почтой делать логаут.
Затем логиниться снова, с включенной 2fa.
Но в этом случае пароль могут угнать кейлогером...
2fa тоже вроде 100%ной безопасности не гарантирует...

Да ничто не будет гарантировать Вам 100%-ную безопасность - особенно, если эта самая безопасность для Вас сводится только к паролям и 2fA.
Безопасность - понятие многогранное (можно сказать "комплексное"). Чем больше мер Вы задействуете - тем защищенней Ваши данные и "кровные". И самые главные меры на самом деле касаются даже не сложности паролей и не 2fA, а банальной публичности информации: в конце концов, мотивация для взлома того, кто гарантированно ворачает миллионами, и того, чье финансовое состояние неизвестно, различна - и хакеру будет куда сложнее взломать, к примеру, Вашу почту, если он не знает, какой у нее адрес.

Тут многое зависит от того как 2fa реализовано. Если это в виде СМС кода, то да, есть методы перехвата СМС или получения дублей сим карт. Гораздо надёжнее если это Google Authenticator, данных по его взлому не встречал.

2FA ("two-factor authentication", "двухфакторная аутентификация") на СМС-ках не бывает. Верификация на СМС-ках носит название "2SV", она же "two-step verification", она же "двухэтапная аутентификация". Обе аутентификации используют две проверки: первая проверка - по паролю, вторая - по какому-нибудь коду. Разница в том, у кого находится вещь, которая генерирует код: если у третьих лиц (как в случае с СМС) - это "двухэтапная" проверка, если у Вас (как в случае с Google Authenticator) - это "двухфакторная" проверка.
Подробнее про различия можно прочитать, к примеру, в этой статье (http://www.outsidethebox.ms/18372/).

Что касается взломов, то 2FA в любом случае не страхует от всего на свете. Бывали случаи ее обхода (https://habr.com/post/171037/) (обнаружения способа не связываться с ней вовсе) или получения данных методами социальной инженерии (https://tproger.ru/news/2fa-exploit/).

---

Кстати, автору темы:


Способ с SMS-ками, исходя из сказанного, не рекомендован (материал в тему (https://bitcointalk.org/index.php?topic=3344150.0)). Лучше для этих целей использовать программы-генераторы (Google Authenticator, Authy, Microsoft Authenticator, Яндекс.Ключ или что там еще (https://overclockers.ru/lab/show/80913/vybiraem-android-prilozhenie-dlya-dvuhetapnoj-autentifikacii-v-servisah-yandeks-kljuch-freeotp-authenticator-a-takzhe-itogi-rassmotreniya-pyati-prilozhenij)) или даже отдельное устройство (токен (https://ru.wikipedia.org/wiki/%D0%A2%D0%BE%D0%BA%D0%B5%D0%BD_(%D0%B0%D0%B2%D1%82%D0%BE%D1%80%D0%B8%D0%B7%D0%B0%D1%86%D0%B8%D0%B8))) - если, конечно, они поддерживаются тем ресурсом, доступ к которому хочет защитить пользователь.

Ну, взламывать СМС могут только при очень интересных суммах на счетах жертвы, т.к. удовольствие это недешевое...

Хороших денег они стоили год назад, по сравнению с теперишнимы расценками. Но безопасность всегда превыше всего!

Есть ли у читателей данного топика, какие-нибудь замечания и предложения по обновлению этой темы?

Всегда пользуйтесь дуэтапной верифекацией, если она конечно же есть.
А так генерируйте пароли через генератор или просто стуча по клавиатуре и записывайте их туда, где никто не найдет.

Актуален ли ещё для вас данный топик? Или стоит его убрать?

Понравилась фраза про спасибо

Интересно, вы раз в год просыпаетесь, только ради одной темы? Много вам наспасибкали?
Не читала тему раньше, могу сказать, что много полезного, но очень трудно читать.
Если бы все правильно оформить, цены бы вам не было.
И конечно, все тут нужно делать безвозмездно :D