Collusor
Newbie
Offline
Activity: 34
Merit: 0
|
|
January 25, 2014, 04:52:55 PM |
|
|
|
|
|
|
|
|
|
|
Transactions must be included in a block to be properly completed. When you send a transaction, it is broadcast to miners. Miners can then optionally include it in their next blocks. Miners will be more inclined to include your transaction if it has a higher transaction fee.
|
|
|
Advertised sites are not endorsed by the Bitcoin Forum. They may be unsafe, untrustworthy, or illegal in your jurisdiction.
|
|
|
|
S3MKi
Legendary
Offline
Activity: 1540
Merit: 1016
|
|
January 25, 2014, 04:53:51 PM |
|
Думаю брутфорс. Надо использовать же спецсимволы, а не просто слова..
|
|
|
|
abctc (OP)
Legendary
Offline
Activity: 1792
Merit: 1038
|
|
January 25, 2014, 04:55:08 PM |
|
Длина пароля 32 знака (5 слов).
- странно, 32 буквы взломать очень трудно, разве только перебором именно слов.. Когда-то были украдены биткоины из brain-кошелька, где паролем был стишок. Вот здесь у чела угнали аккаунт Nxt, но пароль был только 10 цифр (№ со стодолларовой купюры). В англоветке у человека тоже украли NXT, причём с трёх аккаунтов, один из которых был сгенерён при помощи vanity-генератора (который .exe). Тогда подумали, что это был подсунут кейлоггер... В связи с этим для набора парольной фразы рекомендую использовать виртуальную клавиатуру, как написано в FAQ .
|
██████████████████████████████████████████████████ ████████████████████████████████████████████████████ ██████████████████████████████████████████████████████ ████████████████████████████████████████████████████████ ████████████████████████████████████████████████████████ ████████████████████████████████████████████████████████████████████ ████████████████████████████████████████████████████████████ ██████████████████████████████████████████████████████████████ ████████████████████████████████████████████████████████████████ ██████████████████████████████████████████████████████████████████ ████████████████████████████████████████████████████████████████████ | , the Next platform. Magis quam Moneta (More than a Coin) |
|
|
|
Collusor
Newbie
Offline
Activity: 34
Merit: 0
|
|
January 25, 2014, 05:13:44 PM |
|
пароль от кошелька совпадает с паролем от nxt пула? Нет. Я не форжил в пуле. Даже не регистрировался.
|
|
|
|
fehen
Newbie
Offline
Activity: 56
Merit: 0
|
|
January 25, 2014, 05:19:30 PM Last edit: January 25, 2014, 05:37:20 PM by fehen |
|
Мдяяя....
Это конечно очень и очень печальная система защиты.
|
|
|
|
highscore
|
|
January 25, 2014, 05:25:39 PM |
|
Collusor, а можешь секретную фразу написать, ведь врядли ты ее еще будешь использовать... интересно посмотреть на тип фраз которые подбирают.
|
|
|
|
abctc (OP)
Legendary
Offline
Activity: 1792
Merit: 1038
|
|
January 25, 2014, 05:45:18 PM |
|
Нет. Я не форжил в пуле. Даже не регистрировался.
- гмм, мне казалось, что без регистрации на пуле не увидеть статистику найденных им блоков .. Первая серьёзная удача - блок #46412 и 52 NXTа вознаграждения.
Также остаётся вероятность того, что на каком-то другом ресурсе была использована эта же фраза в виде пароля, и админ или хакер того ресурса решил проверить Nxt кошелёк ..
|
██████████████████████████████████████████████████ ████████████████████████████████████████████████████ ██████████████████████████████████████████████████████ ████████████████████████████████████████████████████████ ████████████████████████████████████████████████████████ ████████████████████████████████████████████████████████████████████ ████████████████████████████████████████████████████████████ ██████████████████████████████████████████████████████████████ ████████████████████████████████████████████████████████████████ ██████████████████████████████████████████████████████████████████ ████████████████████████████████████████████████████████████████████ | , the Next platform. Magis quam Moneta (More than a Coin) |
|
|
|
abctc (OP)
Legendary
Offline
Activity: 1792
Merit: 1038
|
|
January 25, 2014, 05:58:59 PM Last edit: January 25, 2014, 06:31:08 PM by abctc |
|
Надо однозначно вводить привязку аккаунта к чему то второму - почта, номер телефона, гугл аутентификатор .. Как пример механники: Пассивная защита при открытии и создании кошелька - капча, минимальная защита от брутфорса.
- извини, но тебе хорошо бы пока ещё почитать, поразбираться с криптовалютами (биткоином, форками, вообще с крипто).. прежде, чем делать безапелляционные заявления. Децентрализованные валюты не могут быть привязаны к централизованным вещам типа почты - с чем, по твоему, Nxt-клиент должен сверять отклик с почты или с аутентификатора? С чем-то, что хранится в блокчейне? Но тогда "это" доступно всем. Капча как защита от брутфорса - неужели ты думаешь, что в системе с отрытым кодом пароли подбирают при помощи оригинального клиента??
|
██████████████████████████████████████████████████ ████████████████████████████████████████████████████ ██████████████████████████████████████████████████████ ████████████████████████████████████████████████████████ ████████████████████████████████████████████████████████ ████████████████████████████████████████████████████████████████████ ████████████████████████████████████████████████████████████ ██████████████████████████████████████████████████████████████ ████████████████████████████████████████████████████████████████ ██████████████████████████████████████████████████████████████████ ████████████████████████████████████████████████████████████████████ | , the Next platform. Magis quam Moneta (More than a Coin) |
|
|
|
Collusor
Newbie
Offline
Activity: 34
Merit: 0
|
|
January 25, 2014, 06:07:06 PM |
|
Нет. Я не форжил в пуле. Даже не регистрировался.
- гмм, мне казалось, что без регистрации на пуле не увидеть статистику найденных им блоков .. Первая серьёзная удача - блок #46412 и 52 NXTа вознаграждения.
Также остаётся вероятность того, что на каком-то другом ресурсе была использована эта же фраза в виде пароля, и админ или хакер того ресурса решил проверить Nxt кошелёк .. У пула есть кошелёк, который форжит. Номер кошелька есть в первом сообщении темы про пул. С помощью BlockExplorer'а легко проследить все транзакции, вознаграждения и найденные блоки. Ни на одном ресурсе сети я НЕ использовал этот пароль.
|
|
|
|
DrBeer
Legendary
Offline
Activity: 3752
Merit: 1864
|
|
January 25, 2014, 06:29:58 PM Last edit: January 25, 2014, 06:42:02 PM by DrBeer |
|
В продолжении истории о угнанных накоплениях, у меня есть предложение к разработчикам - поскольку человеку свойственно ошибаться и быть невнимательным, а кому то просто может не повезти с выбором секретной фразы, что в итоге приводит к воровству средств, а также учитывая что децентрализация самой системы исключает методы централизованной аутентификации, есть такая идея: А почему бы не использовать следующий механизм: (черновая идея, думаю можно допилить до качественного решения): 0. Имеется "открытый" кошелек (как сейчас у всех, которые и бомбят иногда) 1. Вводится "приватный кошелек" 2. Используя механизмы схожие с referencedTransaction, перевод денег с основного кошелька может быть произведен, только после подтверждающей транзакции с "приватного" кошелька. Понятно дело что "приватный" кошелек нигде не публикуется, привязка приватного и открытого - скрытая или неявная. Т.е. так, чтобы даже если подобрали пароль к "приватному" - было не понятно какие "открытые" кошельки к нему привязаны. Т.е. даже при использовании фотонных и прочих инопланетных компутиров, подбор секретной фразы к открытому кошельку - бесполезное времяпрепровождение (с) я, готов принять массу финансовых благодарностей за идею
|
| ...AoBT... | | ▄▄█████████████████▄▄ ███████████████████████ █████████████████████████ █████████████████████████ █████████████████████████ █████████████████████████ █████████████████████████ █████████████████████████ █████████████████████████ █████████████████████████ █████████████████████████ ███████████████████████ █████████████████████████ | | The Alliance of Bitcointalk Translators | | | | │ | | ▄▄▄███████▄▄▄ ▄███████████████▄ ▄███████████████████▄ ▄█████████████████████▄ ▄███████████████████████▄ █████████████████████████ █████████████████████████ █████████████████████████ ▀███████████████████████▀ ▀█████████████████████▀ ▀███████████████████▀ ▀███████████████▀ ▀▀▀███████▀▀▀ | . ..JOIN US.. | | │ | | ▄███████████████████████▄ █████████████████████████ █████▀▀██████▀▀██▀▀▀▀████ ██████████▀██████████████ █████▄▄███████▄▄▀████████ █████████▄▀▄██▀▀█████████ █████████████████████████ █████████████████████████ ████████████▀████████████ ▀███████████████████████▀ █████ ██████████
| . ..HIRE US.. | | │ |
|
|
|
miasik
|
|
January 25, 2014, 06:39:55 PM |
|
2. Используя механизмы схожие с referencedTransaction, перевод денег с основного кошелька может быть произведен, только после подтверждающей транзакции с "приватного" кошелька. Понятно дело что "приватный" кошелек нигде не публикуется, привязка приватного и открытого - скрытая или неявная. Как узел или сеть узнают о привязке, если публикации о ней нигде нет? Смысл P2P - "знает узел = знает сеть" и "знает сеть = знает узел"
|
|
|
|
DrBeer
Legendary
Offline
Activity: 3752
Merit: 1864
|
|
January 25, 2014, 06:46:41 PM |
|
2. Используя механизмы схожие с referencedTransaction, перевод денег с основного кошелька может быть произведен, только после подтверждающей транзакции с "приватного" кошелька. Понятно дело что "приватный" кошелек нигде не публикуется, привязка приватного и открытого - скрытая или неявная. Как узел или сеть узнают о привязке, если публикации о ней нигде нет? Смысл P2P - "знает узел = знает сеть" и "знает сеть = знает узел" Я же сказал - идея черновая но думаю допилить как то можно... Сама идея вобщемто "живая" З.Ы. Скрытую привязку удаляем Может быть шифрованная, а может и открытая - все одно - замарачиваться на подбор пароля к номеру приватного ящика на порядки усложнит угон З.Ы.Ы. Или через арбитражи просто блокировать вывод со счета куда были переведены "нечестные" деньги - тогда смысла воровать не будет. З.Ы.Ы.Ы. Или используя рейтинги кошельков... На кошелек с рейтингом "голубой воришка", перевод запрещен
|
| ...AoBT... | | ▄▄█████████████████▄▄ ███████████████████████ █████████████████████████ █████████████████████████ █████████████████████████ █████████████████████████ █████████████████████████ █████████████████████████ █████████████████████████ █████████████████████████ █████████████████████████ ███████████████████████ █████████████████████████ | | The Alliance of Bitcointalk Translators | | | | │ | | ▄▄▄███████▄▄▄ ▄███████████████▄ ▄███████████████████▄ ▄█████████████████████▄ ▄███████████████████████▄ █████████████████████████ █████████████████████████ █████████████████████████ ▀███████████████████████▀ ▀█████████████████████▀ ▀███████████████████▀ ▀███████████████▀ ▀▀▀███████▀▀▀ | . ..JOIN US.. | | │ | | ▄███████████████████████▄ █████████████████████████ █████▀▀██████▀▀██▀▀▀▀████ ██████████▀██████████████ █████▄▄███████▄▄▀████████ █████████▄▀▄██▀▀█████████ █████████████████████████ █████████████████████████ ████████████▀████████████ ▀███████████████████████▀ █████ ██████████
| . ..HIRE US.. | | │ |
|
|
|
Armando
|
|
January 25, 2014, 06:55:54 PM |
|
Я, например, вообще не включаю NXT для майнинга только чтобы лишний раз не вводить пароль, не оставлять включенным клиента.
Не могу представить, что смог бы хранить в такой системе защиты средств выше здравого смысла - копейки. Которые заранее понимаешь что можешь потерять из-за пароля.
Маленький пароль - сбрутфорсят, даже защиты нет никакой, хотя бы символы вводить, капчу, еще что-то. Длинный пароль - надо его хранить в файле, копировать, вставлять, а это легко перехватывается.
Короче, жопа с этим у некста.
Есть промежуточные варианты. Берём например длинную цитату какую-то на русском которая запомнится легко (стихи например и тп), и вводим её в английской раскладке, смотря на русские буквы. В результате получится что-то типа t.fysqcnslwbnfnf;tcnm например, добавить туда ещё букв в разном реестре, ощибок намеренно допущенных и т, и по моему вообще анриал будет такой пароль подобрать. Ну а копировать-хранить-вставлять не придётся Надо однозначно вводить привязку аккаунта к чему то второму - почта, номер телефона, гугл аутентификатор, что угодно, но без этого ему не быть серьезной платформой. Как пример механники: Пассивная защита при открытии и создании кошелька - капча, минимальная защита от брутфорса. Динамическая защита - при открытии номера у каждого должна быть функция привязать его к какому либо идентификатору. Кто первый занял того и номер. Пусть даже зашли, но транзакции как пример надо подтвердить. Вот штука хорошая - https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=ru, ее использует бтс-е. Не нравится "корпорация добра" - сделайте черт дери свой, но так нельзя оставлять. Было бы супер, конечно, но вот думаю что это разве что в стороннем wallet сервисе можно реализовать.
|
|
|
|
DrBeer
Legendary
Offline
Activity: 3752
Merit: 1864
|
|
January 25, 2014, 07:20:36 PM |
|
Представляю вам самое тупое предложение: Ввести отдельный пароль для отправки денег. Ну типа платежного пароля в яндекс деньгах Простое и тупое - не всегда самое плохое, а иногда даже и самое лучшее Второй "приватный" пароль многое решит, и вроде противоречий в системе не видно. З.Ы. Вопрос только как реализовать ? По идее должно задаваться, меняться в клиенте, после захода в кошелек...получается не очень логично. Всетаки нужен второй, "приватный" кошель или некое его подобие но реализованное внутри платформы
|
| ...AoBT... | | ▄▄█████████████████▄▄ ███████████████████████ █████████████████████████ █████████████████████████ █████████████████████████ █████████████████████████ █████████████████████████ █████████████████████████ █████████████████████████ █████████████████████████ █████████████████████████ ███████████████████████ █████████████████████████ | | The Alliance of Bitcointalk Translators | | | | │ | | ▄▄▄███████▄▄▄ ▄███████████████▄ ▄███████████████████▄ ▄█████████████████████▄ ▄███████████████████████▄ █████████████████████████ █████████████████████████ █████████████████████████ ▀███████████████████████▀ ▀█████████████████████▀ ▀███████████████████▀ ▀███████████████▀ ▀▀▀███████▀▀▀ | . ..JOIN US.. | | │ | | ▄███████████████████████▄ █████████████████████████ █████▀▀██████▀▀██▀▀▀▀████ ██████████▀██████████████ █████▄▄███████▄▄▀████████ █████████▄▀▄██▀▀█████████ █████████████████████████ █████████████████████████ ████████████▀████████████ ▀███████████████████████▀ █████ ██████████
| . ..HIRE US.. | | │ |
|
|
|
Haiti
Newbie
Offline
Activity: 56
Merit: 0
|
|
January 25, 2014, 08:07:23 PM |
|
Размышлял на эту тему последнее время (ещё до взломов). Выводы получились такие: Пока мало аккаунтов в сети - брутфорс бессмысленен, но когда аккаунтов станет много, соответственно станет много паролей разной сложности - случайному взлому будут подвержены все. Взламывается же не конкретный аккаунт. Подбираются вероятные пароли всей сети. Или даже с проверкой по активным кошелькам через блокэксплорер (думаю этот метод был использован для описанных ситуаций со взломами аккаунтов). Чем больше аккаунтов - тем выше вероятность взлома, достаточно запустить словарь или генератор случайных символов (включая alt+xxx, почему бы нет?). Взломщику без разницы чей аккаунт взломается первым, а чей пятым. Возможностью сохранения финансов станет вывод их в другую валюту (других вариантов не вижу). => непрерывное падение обменного курса NXT. ИМХО, в сети останутся только гики. Даже хомяков с паролями "sex, alex, lion..... " не будет по понятным причинам.
Приблизительное Итого: нужен второй пароль в самом локальном клиенте. Первый для входа в кошелёк в режиме форжинга (эдакий предбанник), второй - для совершения действий (символьный, ответ на вопрос или требующий какой-то файл для сравнения с изначально скормленным клиенту). В этом случае вероятность взлома уменьшается, т.к. нужно взламывать конкретный аккаунт (ключевая фраза уже взломана брутфорсом сети) заново (для манипуляций с кошельком). Ну и алярм поставить, чтоб было видно количество попыток ввода пароля и блокировкой окна ввода пароля на "10 минут". Локально.
Остальные варианты угона финансов считаю недостаточной защитой компьютера (телефона, ноутбука, утюга...) от несанкционированного доступа. Аккаунт и клиент тут не виноваты.
Upd: Это не инструкция по взлому. Upd2: возможно я многого не знаю
|
|
|
|
|
Siroc-co
Full Member
Offline
Activity: 210
Merit: 100
)))
|
|
January 25, 2014, 08:22:52 PM |
|
Представляю вам самое тупое предложение: Ввести отдельный пароль для отправки денег. Ну типа платежного пароля в яндекс деньгах Простое и тупое - не всегда самое плохое, а иногда даже и самое лучшее Второй "приватный" пароль многое решит, и вроде противоречий в системе не видно. З.Ы. Вопрос только как реализовать ? По идее должно задаваться, меняться в клиенте, после захода в кошелек...получается не очень логично. Всетаки нужен второй, "приватный" кошель или некое его подобие но реализованное внутри платформы Ну как-то же реализовано это в биткойне. Можно шифрануть свой wallet. С шифрованным walletом можно всё просмотреть, но только просмотреть, и никаких транзакций. Вот вам и "двухэтапная аунтификация". А чё нет?
|
NXT -> 11071907025946873740
|
|
|
Haiti
Newbie
Offline
Activity: 56
Merit: 0
|
|
January 25, 2014, 08:26:02 PM |
|
Ну как-то же реализовано это в биткойне. Можно шифрануть свой wallet. С шифрованным walletом можно всё просмотреть, но только просмотреть, и никаких транзакций. Вот вам и "двухэтапная аунтификация". А чё нет?
Где-то в первом посте ветки было дано разъяснение про Англию и отсутствие валлета.
|
|
|
|
DrBeer
Legendary
Offline
Activity: 3752
Merit: 1864
|
|
January 25, 2014, 08:56:22 PM |
|
Размышлял на эту тему последнее время (ещё до взломов). Выводы получились такие: Пока мало аккаунтов в сети - брутфорс бессмысленен, но когда аккаунтов станет много, соответственно станет много паролей разной сложности - случайному взлому будут подвержены все. Взламывается же не конкретный аккаунт. Подбираются вероятные пароли всей сети. Или даже с проверкой по активным кошелькам через блокэксплорер (думаю этот метод был использован для описанных ситуаций со взломами аккаунтов). Чем больше аккаунтов - тем выше вероятность взлома, достаточно запустить словарь или генератор случайных символов (включая alt+xxx, почему бы нет?). Взломщику без разницы чей аккаунт взломается первым, а чей пятым. Возможностью сохранения финансов станет вывод их в другую валюту (других вариантов не вижу). => непрерывное падение обменного курса NXT. ИМХО, в сети останутся только гики. Даже хомяков с паролями "sex, alex, lion..... " не будет по понятным причинам.
Приблизительное Итого: нужен второй пароль в самом локальном клиенте. Первый для входа в кошелёк в режиме форжинга (эдакий предбанник), второй - для совершения действий (символьный, ответ на вопрос или требующий какой-то файл для сравнения с изначально скормленным клиенту). В этом случае вероятность взлома уменьшается, т.к. нужно взламывать конкретный аккаунт (ключевая фраза уже взломана брутфорсом сети) заново (для манипуляций с кошельком). Ну и алярм поставить, чтоб было видно количество попыток ввода пароля и блокировкой окна ввода пароля на "10 минут". Локально. Остальные варианты угона финансов считаю недостаточной защитой компьютера (телефона, ноутбука, утюга...) от несанкционированного доступа. Аккаунт и клиент тут не виноваты. Upd: Это не инструкция по взлому. Upd2: возможно я многого не знаю
Можно наверное и другим путем - минимизировать продуктивность взлома - просто собирать на нодах 5-10 минутный буфер IP-шников с подозрительным поведением и лочить на 10-15 минут, например 5 попыток ввода - давай отдыхай, тогда брутфорс станет просто нелогичным
|
| ...AoBT... | | ▄▄█████████████████▄▄ ███████████████████████ █████████████████████████ █████████████████████████ █████████████████████████ █████████████████████████ █████████████████████████ █████████████████████████ █████████████████████████ █████████████████████████ █████████████████████████ ███████████████████████ █████████████████████████ | | The Alliance of Bitcointalk Translators | | | | │ | | ▄▄▄███████▄▄▄ ▄███████████████▄ ▄███████████████████▄ ▄█████████████████████▄ ▄███████████████████████▄ █████████████████████████ █████████████████████████ █████████████████████████ ▀███████████████████████▀ ▀█████████████████████▀ ▀███████████████████▀ ▀███████████████▀ ▀▀▀███████▀▀▀ | . ..JOIN US.. | | │ | | ▄███████████████████████▄ █████████████████████████ █████▀▀██████▀▀██▀▀▀▀████ ██████████▀██████████████ █████▄▄███████▄▄▀████████ █████████▄▀▄██▀▀█████████ █████████████████████████ █████████████████████████ ████████████▀████████████ ▀███████████████████████▀ █████ ██████████
| . ..HIRE US.. | | │ |
|
|
|
DrBeer
Legendary
Offline
Activity: 3752
Merit: 1864
|
|
January 25, 2014, 08:59:05 PM |
|
Представляю вам самое тупое предложение: Ввести отдельный пароль для отправки денег. Ну типа платежного пароля в яндекс деньгах Простое и тупое - не всегда самое плохое, а иногда даже и самое лучшее Второй "приватный" пароль многое решит, и вроде противоречий в системе не видно. З.Ы. Вопрос только как реализовать ? По идее должно задаваться, меняться в клиенте, после захода в кошелек...получается не очень логично. Всетаки нужен второй, "приватный" кошель или некое его подобие но реализованное внутри платформы Ну как-то же реализовано это в биткойне. Можно шифрануть свой wallet. С шифрованным walletом можно всё просмотреть, но только просмотреть, и никаких транзакций. Вот вам и "двухэтапная аунтификация". А чё нет? Кошелек не катит, так как испарится одно из абалденных преимуществ "кошелек в голове"... Да и кое где за нераскрытие кошелька можно срок схлопотать. А с Nxt - фантазируй что хочеш, с вероятностью 99,99999999% покажешь пустой кошелек
|
| ...AoBT... | | ▄▄█████████████████▄▄ ███████████████████████ █████████████████████████ █████████████████████████ █████████████████████████ █████████████████████████ █████████████████████████ █████████████████████████ █████████████████████████ █████████████████████████ █████████████████████████ ███████████████████████ █████████████████████████ | | The Alliance of Bitcointalk Translators | | | | │ | | ▄▄▄███████▄▄▄ ▄███████████████▄ ▄███████████████████▄ ▄█████████████████████▄ ▄███████████████████████▄ █████████████████████████ █████████████████████████ █████████████████████████ ▀███████████████████████▀ ▀█████████████████████▀ ▀███████████████████▀ ▀███████████████▀ ▀▀▀███████▀▀▀ | . ..JOIN US.. | | │ | | ▄███████████████████████▄ █████████████████████████ █████▀▀██████▀▀██▀▀▀▀████ ██████████▀██████████████ █████▄▄███████▄▄▀████████ █████████▄▀▄██▀▀█████████ █████████████████████████ █████████████████████████ ████████████▀████████████ ▀███████████████████████▀ █████ ██████████
| . ..HIRE US.. | | │ |
|
|
|
|