📍📍📍 Будь готов к взлому своей учетки 📍📍📍

[Bon_13]

А Есть смысл ломать учетки новичков?

Смысл есть всегда, если на перспективу, если узнали ваши данные и ими доступ к вашим кошелькам, учёткам можно и подождать годик в надежде что пароли не сменятся

Исходя из сообщения выше следует периодически менять пароли, так получается?
И вообще, насколько безопасно сменить текущий пароль на такой же, но с добавлением 2-3 новых символов?

PS. автору спасибо за актуальную и полезную тему

[esmanthra]

а как же анонимность?

Дело как правило добровольное: либо Вы доверяете сервису, либо нет.

насколько безопасно сменить текущий пароль на такой же, но с добавлением 2-3 новых символов?

Настолько, насколько хорошо хакер осведомлен, что Вы так делаете.

[Yuliya2404]

Спасибо, очень полезная и важная информация! У меня вопрос возник, не знаю может уже задавали его. Неужели так сложно сделать 2-х факторную аутентификацию? Она же сейчас практически везде используется. Все просто и надежнее некуда, и не нужны такие сложные движения по защите аккаунта.

[esmanthra]

У меня вопрос возник, не знаю может уже задавали его. Неужели так сложно сделать 2-х факторную аутентификацию?

Да, этот вопрос уже задавали и при том неоднократно. Старайтесь все-таки пользоваться поиском.

[navigatorus]

На мой взгляд всё намного проще,можно обойтись без 99% вышеописанного.Нужно элементарно 1.завести гугл почту,2 установить на гугл почту 2fa и следовать всем правилам безопасности по защите почты от гугла,3 привязать учётку к гуглу защищенному 2fa.2fa взломать не реально только если не стырят телефон вместе с паролем к биткойнталку.Следовательно даже если стырят пароли то можно будет акк через гугл мыло востановить.

[esmanthra]

даже если стырят пароли то можно будет акк через гугл мыло востановить

Если взломщик стырит пароль от Вашего аккаунта, он с вероятностью в те же 99% немедленно поменяет не только пароль, но и e-mail. И тогда единственное, что Вы сможете сделать - это использовать ссылку в письме, что придет на Вашу мега-защищенную Гугл-почту, в коем Вам радостно сообщат, что Ваш e-mail изменился. После этого Ваш аккаунт окажется заблокированным. А дальше что? Как "волшебная" 2fa на Гугле поможет Вам восстановить заблокированный аккаунт?.. То-то и оно.

[AlexKos89]

  Блин напугали Пойду делать)) А взломать то ради меритов могут или есть еще какой то профит?

[esmanthra]

А взломать то ради меритов могут или есть еще какой то профит?

Ради меритов, с целью продажи, для тренировки или просто за идею за Сталина. Вариантов немало, и не все из них даже связаны с деньгами. Собственно, поэтому не стоит думать, что, если Вы обладаете низким рангом, Вы "стопроцентоффникомуненужны". О том, что на уме у взломщика, знает только взломщик.

[taikuri13]

В дополнение могу сказать, что почтовый сервис, привязанный к форуму, лучше выбрать тот, который позволяет подключить 2-х факторную аутентификацию. Например, google authenticator. Бывает как под Android, так и IOS. В том числе, есть десктопная версия: расширение для google chrome.

 Ни в коем случае не путать с sms - верификацией! - имеет уязвимости и легко перехватить. это очень слабая защита.

 google authenticator, привязанный к вашему e-mail станет дополнительной преградой для злоумышленников и позволит сохранить ваш аккаунт на форуме.

Гугловский аутентификатор, насколько мне не изменяет память - закрытый. И здесь сразу возникают вопросы о приватности, анонимности и передаче данных третим лицам. И здесь словами "меня и моих знакомых он никогда не подводил" - будет недостаточно.

Всякие плагины, которые существуют в гуглохроме - это тоже достаточно отдельная история.

Считаю, что этот аутентификатор - способ для тех, кто верит и не особо хочет заниматься своей безопастностью. А если смотреть на вопрос защиты пошире, то тут будет диллема, с одной стороны есть тенденция к многофакторной аутентификации, то есть несколько связей с аккаунтом, а с другой стороны - это очень большой сбор данных, причем достаточно специфических, которые позволяют определить пользователя с 99% - ной уверенностью

[Polkeins]

добил. оказалось действительно не сложно. это всего лишь форма. Сообщение в произвольной форме, адрес из списка, подпись-готово....
я делал на электруме вот наглядное руководство - https://bitcointalk.org/index.php?topic=990345.0#post_electrum198
поучилось -

-----BEGIN BITCOIN SIGNED MESSAGE-----
This is chimk (1202061) from bitcointalk.org and today is 2018.07.26
-----BEGIN SIGNATURE-----
1Kg292TASTinggCWyCucXxfvta5FFPwiT7
H2o5M6wZJ9yZuu/K2w1PK46WeTdD4r9+GYbDI4tZvDuHZdxJLQGJKVtd0wrkMaxllwoIFysoWLjEIbOVk2vB/RU=
-----END BITCOIN SIGNED MESSAGE-----

http://archive.li/YD0EP

ребята всем спасибо кто тут писал и помогал в частности chimk, taikuri13, esmanthra и xenon131 ты просто зверь! Подпись у тебя огненная. После нее стал задумывать о многом, в частности о холодном компе. С вашей помощью сделал таки наконец это дело, застакал! Действительно все не сложно, по линку выше на электрум можно легко понять как все это подписывать .
Я вот такое сообщение делал

Good day! Please someone Quote, verify and archieve

--BEGIN BITCOIN SIGNED MESSAGE--
This is Polkeins (u=1511943) and this is my account.Today is 2018.29.08
of as some of you might write it 08.29.18 pi day 2018
--BEGIN SIGNATURE--
19AHAsDYvBNGpthLtsRrc6gMpbEtnSxJmm
IKepqFeOuDKyT97mDGcCB3SxjnKm9eXkmLTJRIT/vkf7W76P3SmaZ1+CnX+6MfeGaUd11eI12/O5sCofzpbNNaM=
--END BITCOIN SIGNED MESSAGE--

И еще архив сделал как рекомендовали http://archive.fo/Z1ObW
Это я так понимаю на всякий случай, чтобы ссылка была на профиль

Вот сама основная тема где стакать https://bitcointalk.org/index.php?topic=996318.0

[chimk]

Polkeins, что-то у меня ваше сообщение не верифицируется. Мое ранее размещенное, без проблем, а ваше нет. проверял здесь -
https://brainwalletx.github.io/#verify
может ошибаюсь в чем?

[Polkeins]

Polkeins, что-то у меня ваше сообщение не верифицируется. Мое ранее размещенное, без проблем, а ваше нет. проверял здесь -
https://brainwalletx.github.io/#verify
может ошибаюсь в чем?

Chimk приветствую! Я конечно не специалист, сам так сказать только тренируюсь, но вот я кидал это сообщение в мета мне там вроде проверили и верифицировали. Вот ссылка https://bitcointalk.org/index.php?topic=996318.msg44865044#msg44865044 . Я так понял там надо пройти по линку verified и вроде там на какой-то сайт кидает, где написано verified или что-то такое. Я так посмотрел, вроде красной надписи стоп нет, поэтому расслабился.
Может тут еще разница есть чем проверять? От этого что-то может зависит?  

[esmanthra]

Я так понял там надо пройти по линку verified и вроде там на какой-то сайт кидает, где написано verified или что-то такое

Brainwalletx для каждого успешно верифицированного сообщения генерирует отдельную страницу с отдельным URL, где сохраняет результаты (на зеленой плашке сверху ссылка "permalink").

Может тут еще разница есть чем проверять? От этого что-то может зависит?

У Вас форма неверная. Там должно быть по пять дефисов с каждой стороны (у всех этих "бегинбиткойнсайндмессдж" и "бегинсайнэче"):

Code:

-----BEGIN BITCOIN SIGNED MESSAGE-----
This is Polkeins (u=1511943) and this is my account.Today is 2018.29.08 
of as some of you might write it 08.29.18 pi day 2018
-----BEGIN SIGNATURE-----
19AHAsDYvBNGpthLtsRrc6gMpbEtnSxJmm
IKepqFeOuDKyT97mDGcCB3SxjnKm9eXkmLTJRIT/vkf7W76P3SmaZ1+CnX+6MfeGaUd11eI12/O5sCofzpbNNaM=
-----END BITCOIN SIGNED MESSAGE-----

Тогда сообщение верифицируется (как минимум через brainwalletx).

[esmanthra]

это служебные поля. Они никакого отношения к телу сообщения и подписи не имеют

Спасибо, Капитан. Правда, конкретно brainwalletx почему-то считает иначе и, добавив пресловутые дефисы, мне удалось принудить его к "сотрудничеству".

У него в подписанном сообщении две строки отделены  переводом каретки, а в том что он опубликовал на сайте  разрывом строки

Возможно, для сервисов вроде blocktrail.com это имеет значение (они показывают ошибку про "Non base-58 character", которая, как я предполагаю, этим и вызвана). Но brainwalletx к этому относится куда либеральнее, как оказалось.

[esmanthra]

Убедитесь сами. Для этого  между вашими полями с правильными дефисами вставьте тело его сообщения опубликованное на форуме - все, будет ошибка

Ноу проблем. Пошагово:
1. Беру сообщение из этого вот поста.
2. Проверяю его на Юникод. Получается:



3. Вставляю в brainwalletx. Получается:



4. Теперь проверяю на Юникод сообщение с дефисами. Получается:



5. Вставляю в brainwalletx. Получается:



То ли я не догоняю Вашу мысль, то ли Вы использовали какой-то неведомый мне порядок действий, то ли здесь приложил щупальце Летающий Макаронный Монстр brainwalletx таки обращает внимание на чертову служебную информацию.
Thoughts?

[esmanthra]

Но  и тело должно быть Правильным, чтобы подпись подтвердить

В том-то и загвоздка: тело вставляется в обоих случаях одно и то же (я ничего в нем не меняю). Но проверка через Bitcoin-Qt обращает внимание на спецсимвол (как и сервисы вроде blocktrail.com), а проверка выхода - нет.

Обычнsq юзер, а здесь большинство таких, НЕ знает этот  формат служебных полей

Обычному юзеру и не надо знать никаких форматов. Ему надо просто скопировать и вставить. Именно для этого, я предполагаю, brainwalletx и сделал форму для вставки подписанного сообщения со служебной информацией.

А в остальном Вы все правильно говорите: и что не стоит рисковать со спец. символами и использовать соответствующие редакторы, и что верификация больше для народа, а не для администрации. И вообще в самом начале этой темы все просто размещали/цитировали свои BTC-адреса - и были довольны (с PGP-ключами, кстати, была та же история), так что верификация - это больше развлекалочка. Хотя я и не стану прямо утверждать, что администраторы вообще не имеют с ней дел (так как ни подтверждения, ни опровержения этого мне найти не удалось).

[esmanthra]

Ладно заканчиваем на этом. Вы лукавите, и я то понимаю что вы на самом деле сделали

Нет, не заканчиваем. Потому что я не понимаю, где там я, по-Вашему, лукавлю и что "на самом деле" делаю. И Вы, кстати, зря спешите это все свернуть, поскольку, если б мы разобрали тут сейчас эти моменты, у тех, кто это потом прочитает, вопросов было бы куда меньше.

[chimk]

Что то все сложно))) я взял фору из темы, загрузил ее в свой Электрум, отредактировал под себя, скопировал, вставил в сервис, все сработало))

[esmanthra]

Беру его форумное сообщение в том виде как он привел, вставляю в Сайнед Message  верификатора, добавляю чтобы везде было 5 дефиксов там где надо и получаю ......ПШИК

Выше в картинках было показано, что именно вставляется и куда - и дальнейшее обсуждение показало, что в этом и было принципиальное недопонимание (я использую вкладку "Signed Message", Вы - "Bitcoin-Qt").

Вот это же ваше взятое вами из верифицированного линка

С чего Вы взяли, что я беру это из верифицированного линка?
Это то же самое исходное сообщение из вот этого поста - просто дополненное дефисами. Я, кроме строчек с дефисами, ничего там не изменяю.
И именно поэтому у меня непонятка, что оно на вкладке "Signed Message" проходит верификацию, а на вкладке "Bitcoin-Qt" (в "разобранном" виде) - нет.

вы в самом начале знали что там скрытый код?

Нет.

[esmanthra]

вставил форумное сообщение  в "Signed Message".....добавил дефисов  ==> Message failed to verify!  (ошибка)

Забавная, однако, штука. Вам не удается повторить то, что делаю я, но мне вот удалось повторить то, что сделали Вы.:Р Через смену браузера.
В Chrome brainwalletx у меня ведет себя так, как я описываю. Но если я переключаюсь на Firefox, верификация "по дефисам" не проходит.
Мистика.

esmanthra копипаст отрицает

esmanthra (хз, почему синеньким) копипаст отрицает, потому что у esmanthra копипаст был только из форумного сообщения, а не из верифицированного линка. Ну смысл мне тут кого-то обманывать? Я наоборот разобраться хочу.

И тут я уже в ступоре. Ибо так не должно быть

В том-то и дело.

на вкладке "Bitcoin-Qt" как раз не разобранное сообщение - там вносится то, что подписывает автор

Слово в кавычках, нэ?