[up to 2.7GH/s] ltcmine.ru PPS 3.3% fee, GBT & Stratum/LTC, floating diff

[Geo_log]

Это не усложнение, а многократное упрощение. К тому же, так гораздо надежнее.
Плюс есть много людей, которые почтой гугла не пользуются принципиально.

- ничего себе упрощение. Устанавливать какие-то дополнительные программки, и им доверять свои деньги (генерацию кодов) - это упрощение? и вот это "будет сгенерирован ключ для двухфакторной аутентификации. Не забудьте сохранить его!" - теперь ещё ключ нужно хранить. Явное нарушение принципа Оккамы. А почта есть у всех. И при чём здесь почта гугла - разве на бтс-е запрос подтверждения отправляется только на гуглопочту? - нет, на любой ящик.
Вот это

1) We are generating secret key, which then saved by google, our service and user.
2) System time of all sides syncronized from the same source.
3) User runs offline generation of OTP code using his copy of secret key and his own system time. Code will be valid for 60s since generation time.
4) User sends OTP code to us
5) We are calling OTP api method, which runs code validation on google's side
6) If google returned true, code is valid and authentication is completed.

- вы считатете проще?  Или открыть письмо, и ткнуть ссылку - это всё же проще?
Понятно, что это ваш пул, вы можете делать на нём что захотите, но как-то сильно вас качает - то хакеры могут брут форсом (с OCR !) подобрать пароль (т.е. никаких "у вас осталось 2 попытки для ввода пароля"), и даже никаких PIN кодов для смены адреса кошелька (как на других пулах), то теперь нужно устанавливать какие-то левые программки...  А если опять кому-то покажется, что у него увели деньги, и он начнёт кричать, что это у вас только видимость 2FA, и что это вы позволили увести деньги - как вы ему докажете, что и правда запрашиваете третью сторону (гугловский OTP)?  По крайней мере почтовые ссылки - это привычная и осязаемая вещь.

[Balthazar]

Вот это

1) We are generating secret key, which then saved by google, our service and user.
2) System time of all sides syncronized from the same source.
3) User runs offline generation of OTP code using his copy of secret key and his own system time. Code will be valid for 60s since generation time.
4) User sends OTP code to us
5) We are calling OTP api method, which runs code validation on google's side
6) If google returned true, code is valid and authentication is completed.

- вы считатете проще?  

Сюрприз, но да.

но как-то сильно вас качает - то хакеры могут брут форсом (с OCR !) подобрать пароль (т.е. никаких "у вас осталось 2 попытки для ввода пароля")

Баны по IP от брута были и есть. Но это ничем не поможет от ботнета.

Или открыть письмо, и ткнуть ссылку - это всё же проще?

Вы сравниваете несравнимое. Ссылки на почту - это костыль, а не аутентификация.

как вы ему докажете, что и правда запрашиваете третью сторону (гугловский OTP)?

От галлюцинаций хорошо помогает изучение матчасти. Кстати, из нее вам также может стать понятно, что использование стороннего валидатора не является обязательным для функционирования OTP систем.

то теперь нужно устанавливать какие-то левые программки...

Если для вас реализации RFC 2289 - это левые программки, то продолжать разговор нет смысла. Вы не понимаете, что сделано, почему и зачем. Поэтому нет смысла спорить.

Одно я скажу точно-если вы предложите какому-нибудь банку (к примеру), слать ссылки на почту, в ответ на такое предложение покрутят пальцем у виска. Но конечно, вы вольны идти на пул, на котором все замечательно подтверждается на почту.

[Storan]

А нельзя ли эту двуфакторную авторизацию организовать встроенным в кошельки "подписать сообщение"?
Сервер выдаёт запрос-строку, пользователь подписывает его адресом указанным на вывод средств; отсылает полученную сигнатуру серверу, тот её проверяет и все довольны.

[Balthazar]

Это намного лучше почты, но все еще есть изъян - владение адресом в профиле никак не доказывает владение профилем. Адрес очень легко персонифицируется и может почти всегда будет принадлежать бирже или онлайн-кошельку, например. И один бог знает, что в таком случае сделает очередная биткоиника, получив возможность управлять профилями своих юзеров на ресурсах третьей стороны. А такое обязательно случится, т.к. многие игнорируют рекомендации и используют совпадающие пароли.

В противоположность этому, гугл не знает, какой из секретных ключей какому пользователю соответствует (и узнать не может, если только пользователь сам не раскроет свой ключ, но тогда будут уже другие вопросы). Без этой информации у него нет возможностей для подобного злоупотребления, да и доверия к нему больше.

[Guru_2010]

Это намного лучше почты, но все еще есть изъян - владение адресом в профиле никак не доказывает владение профилем. Адрес очень легко персонифицируется и может почти всегда будет принадлежать бирже или онлайн-кошельку, например. И один бог знает, что в таком случае сделает очередная биткоиника, получив возможность управлять профилями своих юзеров на ресурсах третьей стороны. А такое обязательно случится, т.к. многие игнорируют рекомендации и используют совпадающие пароли.

В противоположность этому, гугл не знает, какой из секретных ключей какому пользователю соответствует (и узнать не может, если только пользователь сам не раскроет свой ключ, но тогда будут уже другие вопросы). Без этой информации у него нет возможностей для подобного злоупотребления, да и доверия к нему больше.

после создания кода не возможно зайти в меню опции, после ввода кода, при нажатии на кнопку "ок" ничего не происходит, пробывал с двух браузеров, поправьте пожалуйста.

[Balthazar]

Это потому что вводить надо не секретный ключ (его вообще по-хорошему поменьше "светить" нужно), а временные коды авторизации, создаваемые генератором:

http://s52.radikal.ru/i138/1304/68/e4b416d8a236.png

Список поддерживающих RFC 2289 приложений доступен здесь:

https://bitcointalk.org/index.php?topic=92522.msg1936772#msg1936772

Лично я в зависимости от обстановки пользуюсь Google Authenticator и JAuth Gui (последний изображен на скриншоте).

P.S. Сегодня буду писать справку.

[Balthazar]

Кстати, на тему брутфорса:

miguel (20:00:15 26/04/2013)
give-me-ltc.com was attacked
 miguel (20:00:31 26/04/2013)
brute force login attempts

С нас на Мигеля переключились. Он тоже скоро введет OTP аутентификацию.

[Geo_log]

JAuth Gui (последний изображен на скриншоте).

- Вы это пишете второй раз, а на скриншоте изображена просто виртуальная клавиатура. JAuth Gui выглядит совсем не так. Но перебивать секретный код из пула в JAuth Gui, и затем там генерить код - какой смысл, всё это происходит в интернете. Что ли на другом компьютере (на работе) под этим  JAuth-account name я смогу войти? Вряд ли, иначе и кто-то другой сможет войти..  Значит, снова придётся вводить секретный код..  А пул его мне покажет снова (чтобы я смог перенести в  JAuth Gui)?  Если покажет - то и хакеру тоже покажет...  если не покажет - то тогда  печалька - кроме логина/пароля на пул нужно ещё секретный код помнить... может, его можно будет на себе на мэйл заказать? Или всё, один раз показали, и досвидос?    Вот странно - PayPal, где у людей крутятся большие деньги, сделал логин по почтовому адресу (как и бтс-е, кстати), и не принуждают к 2FA ..  хочешь 2FA - включи у себя в почте.

[Guru_2010]

Это потому что вводить надо не секретный ключ (его вообще по-хорошему поменьше "светить" нужно), а временные коды авторизации, создаваемые генератором:

http://s52.radikal.ru/i138/1304/68/e4b416d8a236.png

Список поддерживающих RFC 2289 приложений доступен здесь:

https://bitcointalk.org/index.php?topic=92522.msg1936772#msg1936772

Лично я в зависимости от обстановки пользуюсь Google Authenticator и JAuth Gui (последний изображен на скриншоте).

P.S. Сегодня буду писать справку.

с ключами разобрался, как сменить теперь адрес для выплат, не вижу нигде этого пункта?

[Balthazar]

Новости на этот викенд.

• По-прежнему наблюдаем массивные попытки брутфорса, пришлось забанить несколько китайских подсетей.
• Из-за массивных попыток перебора пароля по словарю решено форсировать  смену пароля для всех пользователей, не менявших пароль на этой неделе. После авторизации запрос смены
• пароля произойдет автоматически.
• Опция смены адреса вывода средств становится доступной автоматически, при двух условиях - пользователь сменил пароль и 2FA авторизация была активирована не ранее чем 24 часа назад.

P.S. Рекомендуется перелогиниться после смены пароля или генерации OTP ключа.

Вы это пишете второй раз, а на скриншоте изображена просто виртуальная клавиатура. JAuth Gui выглядит совсем не так.

А если посмотреть чуть повыше в правом углу?

Но перебивать секретный код из пула в JAuth Gui, и затем там генерить код - какой смысл, всё это происходит в интернете. Что ли на другом компьютере (на работе) под этим  JAuth-account name я смогу войти? Вряд ли, иначе и кто-то другой сможет войти..

Сможет, поэтому пользоваться десктопными токенами строго не рекомендуется. Если и пользоваться ими, то только на планшетах с соответствующими ОС, но никак не на системе, на которой происходит аутентификация. Иначе это просто не имеет смысла, т.к. секретный ключ могут украсть вместе с паролем. Смысл токенов (в том числе программных, как в данном случае) в том, чтобы превратить авторизацию из последовательности:

• Юзер знает пароль
• Значит юзер хороший, пропускаем

в такую:

• Юзер знает пароль
• У юзера есть токен
• Значит юзер хороший, пропускаем

Т.е. вместо "что-то знает" используется последовательность "что-то знает и что-то имеет".

Однако, JAuth может пригодиться в случае если телефон сломался, например. У меня как-то был случай, когда я телефон искупал в ванне и потом не мог зайти в почту.

[Balthazar]

Текущий статус - сегодня 132 пользователя активировал OTP 2FA

[Pivo]

Странно, при включенном майнере на пуле аккаунт не активен.



Скорость, добыча, все по нулям. С чем это может быть связанно?

з.ы. Только что активировалось, спустя 15-20 минут

[Balthazar]

Грядущий апгрейд должен решить проблему с подтормаживанием статистики.

P.S. Стартовая сложность повышена до 64 вместо 16, демон перезапущен.

[grad]

Около 5 утра по Москве отвалился интерфейс ltcmine. Воркер подключается, шары идут, скорость 0 и воркера и пула, выплаты нуль. Спасай. 

[Balthazar]

Причину нашел и исправил, статистику пересчитаю вечером. Пошел досматривать сон.

[kimmeriets]

чей-то я не догоняю, если пользоваться "Gauth authenticator, web-based:" то чего вводить нужно мыло, или логин. коды выдает инкоррект, бяда.

и по стате вопрос: уже исправили?

[Balthazar]

Да, уже пересчитали для 927 юзеров.

Почта ему не нужна, просто писать можно что-то типа user@ltcmine.ru.

Веб генератор не используйте без крайней необходимости, он просто для примера того, что технология открытая. Секретные коды не должны с момента генерации и записывания попадать в онлайн ни при каких условиях.

Потому что главный принцип здесь такой:



Возможность перегенерации секретных кодов появится сегодня. Ссылки на генераторы подчищу тоже.

P.S. некорректные коды выдаются в случаях, если системные часы рассинхронизированы. Наиболее частая причина.

[Balthazar]

Добавлена возможность пересоздания ключа.

[iLobster]

Правильно понимаю, что если нет 2FA адрес вывода не поменять? То есть если адрес вывода менять не собираюсь, то 2FA можно не страдать? )

[Balthazar]

Уже больше 300 юзеров включили, а откликов меньше десятка за вот уже неделю. По-моему, это показатель того, что "страданий" тут никаких нет, либо они сильно приувеличены.

Адрес вывода не поменять, но можно сменить пароль на рандом, например. Просто чтобы напакостить. Если аккаунт не привязан к почте, это приведет к тому, что его владелец не сможет войти.