[ARDR] Nxt: Ardor - масштабируемая ChildChain-платформа

[Collusor]

Клиент качал по ссылке с первой станицы,
https://bitcointalk.org/index.php?topic=345619.msg4690322#msg4690322
Хэш проверял.

[1714600637]

1714600637

[1714600637]

1714600637

[1714600637]

1714600637

[1714600637]

1714600637

[1714600637]

1714600637

[1714600637]

1714600637

[S3MKi]

Думаю брутфорс. Надо использовать же спецсимволы, а не просто слова..

[abctc]

Длина пароля 32 знака (5 слов).

- странно, 32 буквы взломать очень трудно, разве только перебором именно слов.. Когда-то были украдены биткоины из brain-кошелька, где паролем был стишок.
Вот здесь у чела угнали аккаунт Nxt, но пароль был только 10 цифр (№ со стодолларовой купюры).
В англоветке у человека тоже украли NXT, причём с трёх аккаунтов, один из которых был сгенерён при помощи vanity-генератора (который .exe). Тогда подумали, что это был подсунут кейлоггер...  В связи с этим для набора парольной фразы рекомендую использовать виртуальную клавиатуру, как написано в FAQ .

[Collusor]

Клиент качал по ссылке с первой станицы,
https://bitcointalk.org/index.php?topic=345619.msg4690322#msg4690322
Хэш проверял.

пароль от кошелька совпадает с паролем от nxt пула?

Нет. Я не форжил в пуле. Даже не регистрировался.

[fehen]

Мдяяя....

Это конечно очень и очень печальная система защиты.

[highscore]

Collusor, а можешь секретную фразу написать, ведь врядли ты ее еще будешь использовать... интересно посмотреть на тип фраз которые подбирают.

[abctc]

Нет. Я не форжил в пуле. Даже не регистрировался.

- гмм, мне казалось, что без регистрации на пуле не увидеть статистику найденных им блоков ..

Первая серьёзная удача - блок #46412 и 52 NXTа вознаграждения.

Также остаётся вероятность того, что на каком-то другом ресурсе была использована эта же фраза в виде пароля, и админ или хакер того ресурса решил проверить Nxt кошелёк ..

[abctc]

Надо однозначно вводить привязку аккаунта к чему то второму - почта, номер телефона, гугл аутентификатор ..
Как пример механники:
Пассивная защита при открытии и создании кошелька - капча, минимальная защита от брутфорса.

- извини, но тебе хорошо бы пока ещё почитать, поразбираться с криптовалютами (биткоином, форками, вообще с крипто).. прежде, чем делать безапелляционные заявления.
Децентрализованные валюты не могут быть привязаны к централизованным вещам типа почты - с чем, по твоему, Nxt-клиент должен сверять отклик с почты или с аутентификатора? С чем-то,  что хранится в блокчейне? Но тогда "это" доступно всем. Капча как защита от брутфорса - неужели ты думаешь, что в системе с отрытым кодом пароли подбирают при помощи оригинального клиента??

[Collusor]

Нет. Я не форжил в пуле. Даже не регистрировался.

- гмм, мне казалось, что без регистрации на пуле не увидеть статистику найденных им блоков ..

Первая серьёзная удача - блок #46412 и 52 NXTа вознаграждения.

Также остаётся вероятность того, что на каком-то другом ресурсе была использована эта же фраза в виде пароля, и админ или хакер того ресурса решил проверить Nxt кошелёк ..

У пула есть кошелёк, который форжит. Номер кошелька есть в первом сообщении темы про пул.
С помощью BlockExplorer'а легко проследить все транзакции, вознаграждения и найденные блоки.

Ни на одном ресурсе сети я НЕ использовал этот пароль.

[DrBeer]

В продолжении истории о угнанных накоплениях, у меня есть предложение к разработчикам - поскольку человеку свойственно ошибаться и быть невнимательным, а кому то просто может не повезти с выбором секретной фразы, что в итоге приводит к воровству средств, а также учитывая что децентрализация самой системы исключает методы централизованной аутентификации, есть такая идея:
А почему бы не использовать следующий механизм: (черновая идея, думаю можно допилить до качественного решения):

0. Имеется "открытый" кошелек (как сейчас у всех, которые и бомбят иногда)
1. Вводится "приватный кошелек"
2. Используя механизмы схожие с referencedTransaction, перевод денег с основного кошелька может быть произведен, только после подтверждающей транзакции с "приватного" кошелька. Понятно дело что "приватный" кошелек нигде не публикуется, привязка приватного и открытого - скрытая или неявная. Т.е. так, чтобы даже если подобрали пароль к "приватному" - было не понятно какие "открытые" кошельки к нему привязаны.

Т.е. даже при использовании фотонных и прочих инопланетных компутиров, подбор секретной фразы к открытому кошельку - бесполезное времяпрепровождение

(с) я, готов принять массу финансовых благодарностей за идею

[miasik]

2. Используя механизмы схожие с referencedTransaction, перевод денег с основного кошелька может быть произведен, только после подтверждающей транзакции с "приватного" кошелька. Понятно дело что "приватный" кошелек нигде не публикуется, привязка приватного и открытого - скрытая или неявная.

Как узел или сеть узнают о привязке, если публикации о ней нигде нет? Смысл P2P - "знает узел = знает сеть" и "знает сеть = знает узел"

[DrBeer]

2. Используя механизмы схожие с referencedTransaction, перевод денег с основного кошелька может быть произведен, только после подтверждающей транзакции с "приватного" кошелька. Понятно дело что "приватный" кошелек нигде не публикуется, привязка приватного и открытого - скрытая или неявная.

Как узел или сеть узнают о привязке, если публикации о ней нигде нет? Смысл P2P - "знает узел = знает сеть" и "знает сеть = знает узел"

Я же сказал - идея черновая но думаю допилить как то можно... Сама идея вобщемто "живая"
З.Ы.  Скрытую привязку удаляем Может быть шифрованная, а может и открытая - все одно - замарачиваться на подбор пароля к номеру приватного ящика на порядки усложнит угон
З.Ы.Ы. Или через арбитражи просто блокировать вывод со счета куда были переведены "нечестные" деньги - тогда смысла воровать не будет.
З.Ы.Ы.Ы. Или используя рейтинги кошельков... На кошелек с рейтингом "голубой воришка", перевод запрещен

[Armando]

Я, например, вообще не включаю NXT для майнинга только чтобы лишний раз не вводить пароль, не оставлять включенным клиента.

Не могу представить, что смог бы хранить в такой системе защиты средств выше здравого смысла - копейки. Которые заранее понимаешь что можешь потерять из-за пароля.

Маленький пароль - сбрутфорсят, даже защиты нет никакой, хотя бы символы вводить, капчу, еще что-то.
Длинный пароль - надо его хранить в файле, копировать, вставлять, а это легко перехватывается.

Короче, жопа с этим у некста.

Есть промежуточные варианты. Берём например длинную цитату какую-то на русском которая запомнится легко (стихи например и тп), и вводим её в английской раскладке, смотря на русские буквы. В результате получится что-то типа t.fysqcnslwbnfnf;tcnm например, добавить туда ещё букв в разном реестре, ощибок намеренно допущенных и т, и по моему вообще анриал будет такой пароль подобрать. Ну а копировать-хранить-вставлять не придётся

Надо однозначно вводить привязку аккаунта к чему то второму - почта, номер телефона, гугл аутентификатор, что угодно, но без этого ему не быть серьезной платформой.

Как пример механники:

Пассивная защита при открытии и создании кошелька - капча, минимальная защита от брутфорса.

Динамическая защита - при открытии номера у каждого должна быть функция привязать его к какому либо идентификатору. Кто первый занял того и номер.
Пусть даже зашли, но транзакции как пример надо подтвердить.

Вот штука хорошая - https://play.google.com/store/apps/details?id=com.google.android.apps.authenticator2&hl=ru, ее использует бтс-е.

Не нравится "корпорация добра" - сделайте черт дери свой, но так нельзя оставлять.

Было бы супер, конечно, но вот думаю что это разве что в стороннем wallet сервисе можно реализовать.

[DrBeer]

Представляю вам самое тупое предложение: 
Ввести отдельный пароль для отправки денег. Ну типа платежного пароля в яндекс деньгах

Простое и тупое - не всегда самое плохое, а иногда даже и самое лучшее Второй "приватный" пароль многое решит, и вроде противоречий в системе не видно.
З.Ы. Вопрос только как реализовать ? По идее должно задаваться, меняться в клиенте, после захода в кошелек...получается не очень логично. Всетаки нужен второй, "приватный" кошель или некое его подобие но реализованное внутри платформы

[Haiti]

Размышлял на эту тему последнее время (ещё до взломов). Выводы получились такие:
Пока мало аккаунтов в сети - брутфорс бессмысленен, но когда аккаунтов станет много, соответственно станет много паролей разной сложности - случайному взлому будут подвержены все. Взламывается же не конкретный аккаунт. Подбираются вероятные пароли всей сети. Или даже с проверкой по активным кошелькам через блокэксплорер (думаю этот метод был использован для описанных ситуаций со взломами аккаунтов). Чем больше аккаунтов - тем выше вероятность взлома, достаточно запустить словарь или генератор случайных символов (включая alt+xxx, почему бы нет?). Взломщику без разницы чей аккаунт взломается первым, а чей пятым. Возможностью сохранения финансов станет вывод их в другую валюту (других вариантов не вижу). => непрерывное падение обменного курса NXT.
ИМХО, в сети останутся только гики. Даже хомяков с паролями "sex, alex, lion..... " не будет по понятным причинам.

Приблизительное Итого: нужен второй пароль в самом локальном клиенте.
Первый для входа в кошелёк в режиме форжинга (эдакий предбанник), второй - для совершения действий (символьный, ответ на вопрос или требующий какой-то файл для сравнения с изначально скормленным клиенту).
В этом случае вероятность взлома уменьшается, т.к. нужно взламывать конкретный аккаунт (ключевая фраза уже взломана брутфорсом сети) заново (для манипуляций с кошельком). Ну и алярм поставить, чтоб было видно количество попыток ввода пароля и блокировкой окна ввода пароля на "10 минут". Локально.

Остальные варианты угона финансов считаю недостаточной защитой компьютера (телефона, ноутбука, утюга...) от несанкционированного доступа. Аккаунт и клиент тут не виноваты.

Upd: Это не инструкция по взлому.
Upd2: возможно я многого не знаю

[starik69]

Похоже пора делать аналог http://directory.io/ для NXT 

[Siroc-co]

Представляю вам самое тупое предложение:  
Ввести отдельный пароль для отправки денег. Ну типа платежного пароля в яндекс деньгах

Простое и тупое - не всегда самое плохое, а иногда даже и самое лучшее Второй "приватный" пароль многое решит, и вроде противоречий в системе не видно.
З.Ы. Вопрос только как реализовать ? По идее должно задаваться, меняться в клиенте, после захода в кошелек...получается не очень логично. Всетаки нужен второй, "приватный" кошель или некое его подобие но реализованное внутри платформы

Ну как-то же реализовано это в биткойне. Можно шифрануть свой wallet. С шифрованным walletом можно всё просмотреть, но только просмотреть, и никаких транзакций. Вот вам и "двухэтапная аунтификация". А чё нет?

[Haiti]

Ну как-то же реализовано это в биткойне. Можно шифрануть свой wallet. С шифрованным walletом можно всё просмотреть, но только просмотреть, и никаких транзакций. Вот вам и "двухэтапная аунтификация". А чё нет?

Где-то в первом посте ветки было дано разъяснение про Англию и отсутствие валлета.

[DrBeer]

Размышлял на эту тему последнее время (ещё до взломов). Выводы получились такие:
Пока мало аккаунтов в сети - брутфорс бессмысленен, но когда аккаунтов станет много, соответственно станет много паролей разной сложности - случайному взлому будут подвержены все. Взламывается же не конкретный аккаунт. Подбираются вероятные пароли всей сети. Или даже с проверкой по активным кошелькам через блокэксплорер (думаю этот метод был использован для описанных ситуаций со взломами аккаунтов). Чем больше аккаунтов - тем выше вероятность взлома, достаточно запустить словарь или генератор случайных символов (включая alt+xxx, почему бы нет?). Взломщику без разницы чей аккаунт взломается первым, а чей пятым. Возможностью сохранения финансов станет вывод их в другую валюту (других вариантов не вижу). => непрерывное падение обменного курса NXT.
ИМХО, в сети останутся только гики. Даже хомяков с паролями "sex, alex, lion..... " не будет по понятным причинам.

Приблизительное Итого: нужен второй пароль в самом локальном клиенте.
Первый для входа в кошелёк в режиме форжинга (эдакий предбанник), второй - для совершения действий (символьный, ответ на вопрос или требующий какой-то файл для сравнения с изначально скормленным клиенту).
В этом случае вероятность взлома уменьшается, т.к. нужно взламывать конкретный аккаунт (ключевая фраза уже взломана брутфорсом сети) заново (для манипуляций с кошельком). Ну и алярм поставить, чтоб было видно количество попыток ввода пароля и блокировкой окна ввода пароля на "10 минут". Локально.
Остальные варианты угона финансов считаю недостаточной защитой компьютера (телефона, ноутбука, утюга...) от несанкционированного доступа. Аккаунт и клиент тут не виноваты.
Upd: Это не инструкция по взлому.
Upd2: возможно я многого не знаю

Можно наверное и другим путем - минимизировать продуктивность взлома - просто собирать на нодах 5-10 минутный буфер IP-шников  с подозрительным поведением и лочить на 10-15 минут, например 5 попыток ввода - давай отдыхай, тогда брутфорс станет просто нелогичным

[DrBeer]

Представляю вам самое тупое предложение:  
Ввести отдельный пароль для отправки денег. Ну типа платежного пароля в яндекс деньгах

Простое и тупое - не всегда самое плохое, а иногда даже и самое лучшее Второй "приватный" пароль многое решит, и вроде противоречий в системе не видно.
З.Ы. Вопрос только как реализовать ? По идее должно задаваться, меняться в клиенте, после захода в кошелек...получается не очень логично. Всетаки нужен второй, "приватный" кошель или некое его подобие но реализованное внутри платформы

Ну как-то же реализовано это в биткойне. Можно шифрануть свой wallet. С шифрованным walletом можно всё просмотреть, но только просмотреть, и никаких транзакций. Вот вам и "двухэтапная аунтификация". А чё нет?

Кошелек не катит, так как испарится одно из абалденных преимуществ "кошелек в голове"... Да и кое где за нераскрытие кошелька можно срок схлопотать. А  с Nxt - фантазируй что хочеш, с вероятностью 99,99999999% покажешь пустой кошелек