Haiti
Newbie
 Offline
Activity: 56
Merit: 0
|
 |
January 25, 2014, 09:10:49 PM |
|
Можно наверное и другим путем - минимизировать продуктивность взлома - просто собирать на нодах 5-10 минутный буфер IP-шников с подозрительным поведением и лочить на 10-15 минут, например 5 попыток ввода - давай отдыхай, тогда брутфорс станет просто нелогичным
Это бан прокси. И, возможно, отсутствующих пока пулов. |
|
|
|
|
DrBeer
Legendary
Offline
Activity: 3948
Merit: 2251
Payment Gateway Allows Recurring Payments
|
|
January 25, 2014, 09:15:56 PM |
|
Можно наверное и другим путем - минимизировать продуктивность взлома - просто собирать на нодах 5-10 минутный буфер IP-шников с подозрительным поведением и лочить на 10-15 минут, например 5 попыток ввода - давай отдыхай, тогда брутфорс станет просто нелогичным
Это бан прокси. И, возможно, отсутствующих пока пулов. Както все "безвыходно" прям звучит ! Не должно такого быть - код запАсный должен быть !  Хотя...а чем страшен бан прокси, и почему должен баниться пул ? Я думаю можно подобрать такой набор показателей блокировки, что этот риск может быть также минимальным |
|
|
|
Siroc-co
Full Member
Offline
Activity: 210
Merit: 100
)))
|
|
January 25, 2014, 09:33:24 PM |
|
Наверное, просто не стоит перекладывать ответственность с себя на систему. Просто не быть наивным идиотом, понимать что это серьёзно, и задавать пароль максимально безопасного уровня. Это всё, что требуется. Разве так трудно сделать?
Ну максимум что придумать - это способ легко и надёжно хранить длинные пароли, и способ легкого их ввода в поле. Хотя что-то думается, что такие способы давно изобретены соответствующими компаниями, это, например смарт карты, различные софт хранилки паролей, или хардварные, и , может быть, хасп ключи, биометрия, дактелоскопия.., и подобное... А для параноиков только ассоциативное мышление и тренировка памяти - всё в голове и только там.
А по поводу перехватов, логгеров, троянов - так это тоже не к разработчикам NXT, это к Касперскому, к Доктор Вебу, и прочим подобным.
А криптовалютные прогеры пусть не о вашей безолаберности думают, а о том как развить своё детище в массы.
|
NXT -> 11071907025946873740
|
|
|
DrBeer
Legendary
Offline
Activity: 3948
Merit: 2251
Payment Gateway Allows Recurring Payments
|
|
January 25, 2014, 09:37:05 PM |
|
Наверное, просто не стоит перекладывать ответственность с себя на систему. Просто не быть наивным идиотом, понимать что это серьёзно, и задавать пароль максимально безопасного уровня. Это всё, что требуется. Разве так трудно сделать?
Ну максимум что придумать - это способ легко и надёжно хранить длинные пароли, и способ легкого их ввода в поле. Хотя что-то думается, что такие способы давно изобретены соответствующими компаниями, это, например смарт карты, различные софт хранилки паролей, или хардварные, и , может быть, хасп ключи, биометрия, дактелоскопия.., и подобное... А для параноиков только ассоциативное мышление и тренировка памяти - всё в голове и только там.
А по поводу перехватов, логгеров, троянов - так это тоже не к разработчикам, это к Касперскому, к Доктор Вебу, и прочим подобным.
Да это все понятно ! Но факт остается фактом, что, как миниму по заявлению, весьмиа длинный и качественный пароль, брутанулся же както ? Кстати - а человек у которого угнали пароль, может его здесь опубликовать ? Врят ли он еще раз пригодится, а другим будет наука какие пароли не стоит делать, раз примитивный брут его длинного такого перебрал |
|
|
|
DrBeer
Legendary
Offline
Activity: 3948
Merit: 2251
Payment Gateway Allows Recurring Payments
|
|
January 25, 2014, 09:38:33 PM |
|
Ну и немного приятного - сегодня DGEX как то быстро отрабатывает, вывод буквально за пару часов ! К чему бы это ?
|
|
|
|
basilson
Newbie
Offline
Activity: 35
Merit: 0
|
|
January 25, 2014, 09:39:00 PM |
|
Да это все понятно !
Но факт остается фактом, что, как миниму по заявлению, весьмиа длинный и качественный пароль, брутанулся же както ?
Кстати - а человек у которого угнали пароль, может его здесь опубликовать ? Врят ли он еще раз пригодится, а другим будет наука какие пароли не стоит делать, раз примитивный брут его длинного такого перебрал
все может гораздо проще - кейлоггер и не надо ничего брутить |
|
|
|
|
|
|
Siroc-co
Full Member
Offline
Activity: 210
Merit: 100
)))
|
|
January 25, 2014, 10:20:14 PM |
|
Ставить не ставил, не доверяю чёт. Но интерфейс мне у него понравился, и ссылки все есть, на алиас и др. судя по скринам. |
NXT -> 11071907025946873740
|
|
|
|
|
Collusor
Newbie
Offline
Activity: 34
Merit: 0
|
|
January 25, 2014, 10:29:15 PM |
|
Наверное, просто не стоит перекладывать ответственность с себя на систему. Просто не быть наивным идиотом, понимать что это серьёзно, и задавать пароль максимально безопасного уровня. Это всё, что требуется. Разве так трудно сделать?
Ну максимум что придумать - это способ легко и надёжно хранить длинные пароли, и способ легкого их ввода в поле. Хотя что-то думается, что такие способы давно изобретены соответствующими компаниями, это, например смарт карты, различные софт хранилки паролей, или хардварные, и , может быть, хасп ключи, биометрия, дактелоскопия.., и подобное... А для параноиков только ассоциативное мышление и тренировка памяти - всё в голове и только там.
А по поводу перехватов, логгеров, троянов - так это тоже не к разработчикам NXT, это к Касперскому, к Доктор Вебу, и прочим подобным.
А криптовалютные прогеры пусть не о вашей безолаберности думают, а о том как развить своё детище в массы.
Никто и не перекладывает ответственность на систему. Просто самое обидное во всём этом то, что мой кошелёк был разлочен и форжил практически без перерыва последние несколько суток, тем самым, поддерживая сеть. А несколько дней назад мне даже удалось подписать блок. И после этого я получаю от какой-то падлы удар ниже пояса. Если имеете понимание, как придумать максимально безопасный пароль – расскажите. Я учту при создании нового аккаунта. |
|
|
|
|
|
ZeroTheGreat
|
|
January 25, 2014, 11:38:38 PM |
|
Вывод - пока PoW майнинг не опустится до себестоимости, мощности будут расти. Скорее всего, наоборот. "Чёрная дыра": майнинг будет гнать валюту до такой цены, которая окупает его. А гонка вооружений (чтобы хотя бы удержать свою долю прибыли, нужно всё время наращивать мощность, дилемма заключённого не позволяет остановить гонку ни одному из участников) ограничена лишь немгновенной печатью спецчипов. Разумеется, одной этой компонентой окончательная цена валюты не ограничивается. Если имеете понимание, как придумать максимально безопасный пароль – расскажите. Я учту при создании нового аккаунта.
Если это был кейлоггер/компромизация, сложность пароля значения не имеет. Если ты думаешь на брутфорс, то покажи нам взломанный пароль. |
|
|
|
|
sunrise778
Member
Offline
Activity: 84
Merit: 10
|
|
January 26, 2014, 12:01:58 AM
Last edit: January 26, 2014, 04:13:39 AM by sunrise778 |
|
Если имеете понимание, как придумать максимально безопасный пароль – расскажите. Я учту при создании нового аккаунта.
Здорово, что не сдаёшься. Ведь м...ки, обворовывающие новичков как раз на то и надеются, что отобьют у них всяких интерес к КОНКУРИРУЮЩЕЙ платформе 2-го поколения. Кто-нибудь форжит постоянно c VPS сервера?
Нет ли страха в один “прекрасный” момент лишиться всех монет?
SOS!
У меня взломали аккаунт и украли 12.5k монет.
Значит ты не на локальном, а на ЧУЖОМ СЕРВЕРЕ открывал свой кошелёк? Наверное, даже без ssl? Жаль. Ведь тебя новичком назвать сложно. Человек, зарегистрировавшийся в июле 2011 года (бум BTC, рост "аж" до 35$), наверное, хорошо разбирается в тонкостях криптовалют?.. Жаль, что ты не публикуешь здесь свою секретную фразу. Теперь-то какая разница?.. Может быть удалось бы разобраться в ситуации и продвинуться дальше в наших поисках. А то ведь некоторые спят и видят, с какого бы боку посеять среди NXT-ров СТРАХ И УЖАС. А правила создания нового аккаунта достаточно просты. Никаких фраз (на мой взгляд), побольше специальных символов, лучше вообще 100 символов. Вот вам и обезьяны с бананами... Можно создать кошелёк-сейф: сложный пароль, описанный выше и кошелёк с небольшой суммой для тестирования, спонсорства итд. Второй кошелёк с фразой под 50 символов, парой намеренных ошибок и заменой символов типа 2=к, 4=для, @=у или как угодно. Рассматривать этот кошелёк как портмоне в заднем кармане брюк, он как бы и не совсем твой, а общий  Пока вот так. Позже, видимо, у NXT появятся другие возможности для идентификации а также user-friendly Hardware Keys, как, допусти, вот этот для BTC. Полезная информация с нашей основной страницы: http://wiki.nxtcrypto.org/wiki/How-To:GenerateStrongPasswordhttp://wiki.nxtcrypto.org/wiki/Account_SecurityЯ думаю, необходимо просто придерживаться этих достаточно простых правил, ведь это всего лишь временные неудобства. Ну и помнить ПОЧЕМУ нападают. Зачем нужны эти "зомби", DDos, кражи. Scam-коины не DDos'ят, их не крадут, они никому не нужны. Боятся только сильных конкурентов, способных оставить в прошлом всех тех, кто за него так цепляется. |
|
|
|
|
|
Armando
|
|
January 26, 2014, 12:05:55 AM |
|
Если имеете понимание, как придумать максимально безопасный пароль – расскажите. Я учту при создании нового аккаунта.
А всё же, покажите что за пароль то был? Ну и наверное нужно сначала 100% исключить вариант с кейлоггером, а то купите сейчас ещё монет, а они опять уйдут. По поводу как сделать пароль устойчивый к брутфорсу, вот мой вариант например https://bitcointalk.org/index.php?topic=345882.msg4734588#msg4734588 |
|
|
|
|
sunrise778
Member
Offline
Activity: 84
Merit: 10
|
|
January 26, 2014, 12:15:12 AM |
|
Отличная идея для второго кошелька!
|
|
|
|
|
starik69
Legendary
Offline
Activity: 1367
Merit: 1000
|
|
January 26, 2014, 12:20:24 AM |
|
Ставил, он вроде с окрытым кодом. Версия 0.0.2 так что еще есть глюки. Есть еще как минимум два сторонних клиента, а будет еще больше. Пока они тестируются, использовать в них пароли к основным кошелькам вряд ли разумно. К тому ж запускать лучше в отдельной виртуалке чтобы еще чего плохого не вышло. Также следует знать, что "официальный" клиент (это то, что видно в браузере) давно "официально" не поддерживается (в отличие от Java сервера)  |
|
|
|
|
polonfd
Newbie
Offline
Activity: 5
Merit: 0
|
|
January 26, 2014, 12:53:08 AM |
|
Сегодня черная пятница, у пользователей один за другим кто-то форжит по крупному их кошельки.
Поэтому, сегодня грустные частушки и черный юмор.
— Ватсон, вот я смотрю на вас и думаю. . . Это же вы спиз***ли мои Нексты?
— Но. . . но как вы узнали, Холмс?
— Узнал? Я просто спросил.
Встречаются два майнера. У одного новый асик.
— Слышь, откуда асик то?
— Да вчера пришел к знакомой, она тоже майнит,
а она вдруг срывает с себя одежду и говорит:
— Бери если нравится то, что ты видишь!
Ну я и взял. Клевый асик, да?
— Клевый. Правильный выбор сделал, на кой тебе бабские шмотки.
Идет экзамен в универе на повышение квалификации - тест с вопросами, на которые надо отвечать "да" или "нет".
Один из студентов-трейдеров подбрасывает монетку и записывает результаты.
Препод думает: "Ну, этот первым закончит."
Экзамен закончился, остальные студенты уже написали и ушли, а трейдер студент все сидит и монетку подбрасывает.
Преподу это надоело, он подходит и спрашивает: - Ну что. ответил на вопросы?
- Да.
- А чего тогда делаешь?
- Проверяю.
Голод дошел до российской глубинки.
Бедная мама взялась за дубинку.
Детям теперь гарантирован ужин...
Папочка майнер был не особенно нужен.
Будущий майнер (совсем еще маленький мальчик )
Сунул в розетку свой тоненький пальчик.
Очень довольна им бабушка Вера:
Майнер теперь светит вместо торшера.
Малелький мальчик купил пару Некстов,
Теперь у него вся деревня в невестах.
Мальчик Алеша квантовый асик нашел - с этой игрушкой в школу пришел
Преподы глянули на мальчика косо - где Асик, где Леша... а не было Леши!
Папа на биржу всю зарплату завел,
В среду завод, в субботу развод.
Сидит майнер вечерком дома за компом, на асик смотрит, радуется вовсю. Вдруг стук в дверь... Открывает, а за дверью смерть с косой.
- Как, мне ж еще жить, да жить!
- Не к тебе я - к асику твоему...
Но, все равно, немного позитива:
Сидит психиатр (П) у себя в кабинете - скучает... пациенты не идут.
Тут тихонько так приоткрывается дверь и к нему на карачках заползает человек (Ч) сжимая что-то в зубах, руках и т. д. плюс что-то еще волочится сзади.
П: - Ой кто это к нам тут ползет!!! Это наверное маленькая змейка. Заползай змейка, заползай маленькая, доктор тебе поможет.
Человек отрицательно машет головой.
: - А-А-А. это наверное черепашка к нам в гости пожаловала. Заползай черепашка в кресло и расскажи дяде доктору что с тобой случилось...
Человек отрицательно машет головой.
П: Так кто же это у нас - наверное маленький червячок?
Ч: ДОКТОР, ИДИТЕ НАХ, Я СИСАДМИН, ВАМ СЕТЬ ПРОКЛАДЫВАЮ!
Один компьютерщик – другому:
- Мне тут одна девчонка роман Достоевского на «мыло» прислала, вчера читать начал.
- Ну и как?
- Интересно, только мрачный он какой-то. Прикинь: пять с лишним мегов текста, и ни одного смайлика!
Умирает старый трейдер. Вся семья собирается у смертного одра. Доктор вынимает градусник и печально объявляет:
- 39.
Умирающий открывает один глаз и хрипит:
- Будет 40 - про...давай...те!
Пароль взломанного аккаунта: КакЖеЯЗае***сяПодбиратьВашиПароли
Моя шляпа перед вами - NXT 15679894295041202226.
|
|
|
|
|
|
|
|
ImmortAlex
|
|
January 26, 2014, 03:27:04 AM |
|
Ну как-то же реализовано это в биткойне. Можно шифрануть свой wallet. С шифрованным walletом можно всё просмотреть, но только просмотреть, и никаких транзакций. Вот вам и "двухэтапная аунтификация". А чё нет?
Ну так поставь себе альтернативный клиент, который показывает состояние произвольного аккаунта без ввода пароля. Стремаешься альтернативы - пользуйся публичным эксплорером. Парни, вы никак не поймёте, что Nxt в плане устройства ключей ничем не отличается от биткоина. Вообще ничем. Просто дефолтный клиент битка хранит ваш пароль в файле и придумывает его сам, а дефолтный клиент Nxt ничего не придумывает и просит ввести. |
|
|
|
|
|
ImmortAlex
|
|
January 26, 2014, 03:29:52 AM |
|
Можно наверное и другим путем - минимизировать продуктивность взлома - просто собирать на нодах 5-10 минутный буфер IP-шников с подозрительным поведением и лочить на 10-15 минут, например 5 попыток ввода - давай отдыхай, тогда брутфорс станет просто нелогичным
Так брутфорс не требует обращения к сети. Господи, вы действительно полагаете, что в криптовалюте второго поколения ввели сервер с авторизацией?! Что в него ломятся злоумышленники, что в нём можно сделать двухфакторную авторизацию?! Если б BCNext был мёртв, его гроб бы уже разнесло в щепки. |
|
|
|
|
|
ImmortAlex
|
|
January 26, 2014, 03:38:04 AM |
|
Итого: нужен второй пароль в самом локальном клиенте.
Первый для входа в кошелёк в режиме форжинга (эдакий предбанник), второй - для совершения действий (символьный, ответ на вопрос или требующий какой-то файл для сравнения с изначально скормленным клиенту). Прекратите называть приватный ключ паролем - и всё станет немного понятней Ну, точнее, из пароля однозначным алгоритмом генерится публичный и приватный ключ, из публичного потом однозначным алгоритмом вытягивается номер аккаунта. Несколько недель назад предлагался такой более-менее конструктивный и реализуемый вариант: - по умолчанию всё работает как есть - аккаунт может отправить в сеть специальную транзакцию с ещё одним публичным ключом (ака "юзер ввёл ещё один пароль") - после этого первый ключ используется только для форжинга, а второй ключ - для подписывания транзакций на отправку. Второй пункт обязателен, сеть должна знать публичный ключ. Второй пункт не отменит перебор паролей злоумышленниками, но позволит разделить форжинг и отправку денег. |
|
|
|
|
|
