|
funbug
|
 |
January 26, 2014, 04:54:44 AM |
|
Наверное, просто не стоит перекладывать ответственность с себя на систему. Просто не быть наивным идиотом, понимать что это серьёзно, и задавать пароль максимально безопасного уровня. Это всё, что требуется. Разве так трудно сделать?
Ну максимум что придумать - это способ легко и надёжно хранить длинные пароли, и способ легкого их ввода в поле. Хотя что-то думается, что такие способы давно изобретены соответствующими компаниями, это, например смарт карты, различные софт хранилки паролей, или хардварные, и , может быть, хасп ключи, биометрия, дактелоскопия.., и подобное... А для параноиков только ассоциативное мышление и тренировка памяти - всё в голове и только там.
А по поводу перехватов, логгеров, троянов - так это тоже не к разработчикам NXT, это к Касперскому, к Доктор Вебу, и прочим подобным.
А криптовалютные прогеры пусть не о вашей безолаберности думают, а о том как развить своё детище в массы.
Никто и не перекладывает ответственность на систему. Просто самое обидное во всём этом то, что мой кошелёк был разлочен и форжил практически без перерыва последние несколько суток, тем самым, поддерживая сеть. А несколько дней назад мне даже удалось подписать блок. И после этого я получаю от какой-то падлы удар ниже пояса. Если имеете понимание, как придумать максимально безопасный пароль – расскажите. Я учту при создании нового аккаунта. Мне стало интересно и я посмотрел список транзакций кошелька который обвиняют в уводе денег Интересная тенденция Вчера на него пришло 12.500 и через 3 минуты 500 Сегодня на него пришло 105.693 и через 3 минуты 319 время между вчера и сегодня ~ 8 часов Вывод - то что ворует это вроде да причем хорошо ворует примерно 10 штук зелени меньше чем за 8 часов Вопрос в другом что для брутфорса времени как то маловато поэтому это жутко напоминает увод пароля с помощью логгера или иной заразы на локальной машине И в первую очередь надо трясти ее антивирусом или руками смотреть что куда посылалось (это к Касперскому, к Доктор Вебу, и прочим подобным.) Тут ни какой безопасный пароль не поможет, но это мое личное мнение |
|
|
|
basilson
Newbie
 Offline
Activity: 35
Merit: 0
|
|
January 26, 2014, 06:19:53 AM |
|
Продолжил перевод nxt wiki на русский: http://wiki.nxtcrypto.org/wiki/Special:Contributions/BasilЧто я перевел: http://wiki.nxtcrypto.org/wiki/FAQ/ru (частично): 1.5, 2.1, 2.2, 2.3, 3.1, 3.2, 3.3, 3.4, 3.5, 3.6, 3.7, 4.1, 4.2, 4.3, 4.4, 4.5, 4.6, 4.7, 4.8, 4.9 + http://wiki.nxtcrypto.org/wiki/Nxt_History/ru (было начато до меня) http://wiki.nxtcrypto.org/wiki/Nxt_Software/ruhttp://wiki.nxtcrypto.org/wiki/Android/ruhttp://wiki.nxtcrypto.org/wiki/How-To:UninstallNRSClient/ruhttp://wiki.nxtcrypto.org/wiki/Exchanges/ruhttp://wiki.nxtcrypto.org/wiki/Faucets/ruhttp://wiki.nxtcrypto.org/wiki/Block_Explorers/ruhttp://wiki.nxtcrypto.org/wiki/Vanity_Account_Generators/ruЕсли кто-то захочет поддержать, номер счета доступен в подписи. Спасибо. |
|
|
|
|
abctc (OP)
Legendary
Offline
Activity: 1792
Merit: 1038
|
|
January 26, 2014, 06:30:25 AM
Last edit: January 26, 2014, 06:44:11 AM by abctc |
|
Если имеете понимание, как придумать максимально безопасный пароль – расскажите. Я учту при создании нового аккаунта.
- для максимальной безопасности нужен не только стойкий пароль, но и безопасное окружение. Лучше всего поставить виртуальную машину с каким-нибудь Linux, в котором установлена только Java, официальный Nxt-сервер, open-source виртуальная клавиатура, и проверенный браузер без всяких примочек. В этой виртуалке никогда никаких программ не запускать, ни на какие сайты (кроме localhost :-)) не заходить. Пароль к своему кошельку вводить только через виртуальную клавиатуру. О стойком пароле за последние дни писали уже много раз. Пароль обязательно должен содержать спецсимволы, а также буквы разного регистра. Если пароль сгенерирован спец. программой, то нет смысла в его длине более 32-х символов, т.к. он потом всё равно превращается в приватный ключ длиной 32 байта. Если пароль несколько осмысленный (для возможности ввода по памяти), то лучше его сделать несколько больше 32-х символов. Если на виртуальной клавиатуре есть и русские и английские буквы, то можно подобрать русскую фразу, и вводить её в английском регистре, обязательно заменяя по своему алгоритму некоторые буквы на спецсимволы, например, i -> !, a -> _, e -> ~, j - ^, и т.д. Пример: берём фразу "И опыт, сын ошибок трудных" пишем без пробелов в английском регистре, последнюю букву каждого слова делаем заглавной, получаем "bjgsN,csYjib,jRnhelys{". В момент ввода заменяем буквы по нашему алгоритму, получается: "b^gsN,csY^!b,^Rnh~lys{" . Это позволяет никогда не копи-пастить пароли, а вбивать их через виртуальую клавиатуру - это важно, потому, что клавиатурные шпионы перехватывают не только нажатия клавиш, но и буфер обмена. При этом у вас в виртуальной машине может и не быть шпиона, он он может сидеть и перехватывать клавиши в хостовой машине, где вы по-прежнему сёрфите интернет, запускаете разные программы.. |
██████████████████████████████████████████████████
████████████████████████████████████████████████████
██████████████████████████████████████████████████████
████████████████████████████████████████████████████████
████████████████████████████████████████████████████████
████████████████████████████████████████████████████████████████████
████████████████████████████████████████████████████████████
██████████████████████████████████████████████████████████████
████████████████████████████████████████████████████████████████
██████████████████████████████████████████████████████████████████
████████████████████████████████████████████████████████████████████ |
, the Next platform. Magis quam Moneta (More than a Coin) |
|
|
|
|
miasik
|
|
January 26, 2014, 06:39:45 AM |
|
Несколько недель назад предлагался такой более-менее конструктивный и реализуемый вариант:
- по умолчанию всё работает как есть
- аккаунт может отправить в сеть специальную транзакцию с ещё одним публичным ключом (ака "юзер ввёл ещё один пароль")
- после этого первый ключ используется только для форжинга, а второй ключ - для подписывания транзакций на отправку.
Второй пункт обязателен, сеть должна знать публичный ключ.
Второй пункт не отменит перебор паролей злоумышленниками, но позволит разделить форжинг и отправку денег.
Очень интеренсо, хочу! Чем закончилось обсуждение? |
|
|
|
|
scor2k
Legendary
Offline
Activity: 1005
Merit: 1002
work hard, die young (c)
|
|
January 26, 2014, 06:41:22 AM |
|
Если имеете понимание, как придумать максимально безопасный пароль – расскажите. Я учту при создании нового аккаунта.
- для максимальной безопасности нужен не только стойкий пароль, но и безопасное окружение. Лучше всего поставить виртуальную машину с каким-нибудь Linux, в котором установлена только Java, официальный Nxt-сервер, open-source виртуальная клавиатура, и проверенный браузер без всяких примочек. В этой виртуалке никогда никаких программ не запускать, ни на какие сайты (кроме localhost :-)) не заходить. Пароль к своему кошельку вводить только через виртуальную клавиатуру. Опередили буквально на пол часа =)) В дополнении хотел сказать, что еще более безопасным (читать *параноидальным*) было бы использовать самосозданный LiveCD/LiveUSB для работы с кошельком. Берем самый дешевый нетбук, грузим его с флешки, качаем последнюю версию кошелька (ссылка фиксированная), сверяем хэш, запускаем, ждем закачки блоков, проводим транзакцию и выключаем машину, убираем флешку  Все же виртуалка на машине где есть (теоретически) троян - это уже уязвимость. Кейлогеры, бывает, пишут не только нажатия клавиш клавиатуры, а еще координаты кликов мыши )))) Ну вот, как-то так Все остальное abctc правильно сказал |
|
|
|
|
|
miasik
|
|
January 26, 2014, 07:34:01 AM |
|
Есть какая-то разница между паролями набранными в разных раскладках? Например - одна и та-же фраза, набранная в английской и русской раскладках?
|
|
|
|
|
basilson
Newbie
Offline
Activity: 35
Merit: 0
|
|
January 26, 2014, 07:35:53 AM |
|
Есть какая-то разница между паролями набранными в разных раскладках? Например - одна и та-же фраза, набранная в английской и русской раскладках?
Конечно есть, это же совершенно разные символы. |
|
|
|
|
|
miasik
|
|
January 26, 2014, 08:01:33 AM |
|
Есть какая-то разница между паролями набранными в разных раскладках? Например - одна и та-же фраза, набранная в английской и русской раскладках? Конечно есть, это же совершенно разные символы. Спасибо, Кэп! ;-) Уточню - есть разница в сложности подбора между паролями в разных раскладках? Я понимаю, что один пароль, набранный в смешанных раскладках будет сложнее. |
|
|
|
|
|
ImmortAlex
|
|
January 26, 2014, 08:11:36 AM |
|
Несколько недель назад предлагался такой более-менее конструктивный и реализуемый вариант:
- по умолчанию всё работает как есть
- аккаунт может отправить в сеть специальную транзакцию с ещё одним публичным ключом (ака "юзер ввёл ещё один пароль")
- после этого первый ключ используется только для форжинга, а второй ключ - для подписывания транзакций на отправку.
Второй пункт обязателен, сеть должна знать публичный ключ.
Второй пункт не отменит перебор паролей злоумышленниками, но позволит разделить форжинг и отправку денег.
Очень интеренсо, хочу! Чем закончилось обсуждение? Пока ничем. У разработчиков свои приоритеты, не всегда совпадающие с чьими-то пожеланиями. |
|
|
|
|
|
ImmortAlex
|
|
January 26, 2014, 08:18:10 AM |
|
Есть какая-то разница между паролями набранными в разных раскладках? Например - одна и та-же фраза, набранная в английской и русской раскладках?
Всё зависит от того, кто и как ищет. Есть, допустим, вот такая древнючая библиотека для построения брутфорс-ломалок. Насколько я помню, у нее даже в документации был пример такой настройки, чтоб подбирать по английскому словарю в русской раскладке и наоборот. Если кулхакер не нацеливается специально на аудиторию с русской раскладкой, то такая замена надёжна, а если нацеливается - то совершенно не поможет. В принципе, пароль по словарю может быть надежным, если слова толково портить. |
|
|
|
|
|
ImmortAlex
|
|
January 26, 2014, 08:20:41 AM |
|
Кстати, господа, напоминаю, что после блока 51000 тампакс превратится в тыкву клиенты старее 0.5.10 отвалятся от основной цепочки. Это примерно завтра (смотря кто в каком часовом поясе).
|
|
|
|
|
|
ImmortAlex
|
|
January 26, 2014, 08:22:41 AM |
|
Если кто-то захочет поддержать, номер счета доступен в подписи. Спасибо.
NXT: 5655031817077790666
Номер ванитигеном подбирал, или тебе сопутствовала дьявольская удача?  |
|
|
|
|
|
miasik
|
|
January 26, 2014, 08:24:33 AM |
|
у меня среди Active peers [1321] примерно половина 0.5.10
Среди остальных вижу 0.4.8 и даже вот такое .NXT (0.0.3) @ ?
|
|
|
|
|
|
ImmortAlex
|
|
January 26, 2014, 08:31:37 AM |
|
у меня среди Active peers [1321] примерно половина 0.5.10
Среди остальных вижу 0.4.8 и даже вот такое .NXT (0.0.3) @ ?
Это, скорее всего, dotNXT клиент. А ещё старина Жан-Люк отметился: NRS (0.6.0) @ NCC-1701-D |
|
|
|
|
Siroc-co
Full Member
Offline
Activity: 210
Merit: 100
)))
|
|
January 26, 2014, 08:47:51 AM |
|
Есть какая-то разница между паролями набранными в разных раскладках? Например - одна и та-же фраза, набранная в английской и русской раскладках? Конечно есть, это же совершенно разные символы. Спасибо, Кэп! ;-) Уточню - есть разница в сложности подбора между паролями в разных раскладках? Я понимаю, что один пароль, набранный в смешанных раскладках будет сложнее. Естественно сложнее. Вам правильно сказали, что это разные символы, точнее это разные коды символов.
Честно говоря, сомневаюсь я, что реально работающие квантовые компьютеры появятся при нашей жизни...
Вы ещё живы? А то так-то Гугл уже давненько купил квантовый комп D-Wave и потихоньку тестирует. Да, он слабоват для простых арифметических операций, но как пишут в работе со случайными данными он не превзойдён. Да и не забываем темп развития современной техники. Глядишь лет через пять уже домашним станет. А вот вопрос к специалистам. Насколько быстро, по вашим оценкам, будет взломан некстовский аккаунт с паролем типа "sorok tysyach obez'yan v zhopu sunuli banan"?
Мгновенно он может быть взломан. По сути нет никакого взлома. Пишем скрипт, и проверяем сумму на кошельках тупым перебором. Берём пароли "мудаков" из 10 символов, например. Берём свежие блоки (всё делается offline) и начинаем перебирать... 0000000001 - смотрим скок денежек, есть переводим, нет дальше идём 0000000002 - смотрим скок денежек, есть переводим, нет дальше идём ..... 9999яЯZZZ - смотрим скок денежек, есть переводим, нет дальше идём Идея понятна же? А практика показала что таких наивных с паролем в десять-пятнадцать символов - много. И, кстати, все взломанные утверждали о сложности пароля, но ни один так и не показал свой пароль. Подозреваю паролем был или номер мобильника, или дата какая-то, или что-то просто циферное. Я давно не занимался взломами, но ещё мой старый интеловский проц мог подбирать пароль к sam файлу на скорости более 100 тыс в сек при длинне пароля 8 символов. Говорите каждые восемь часов деньги уводят? Сколько кошельков можно пролистать на современном проце за восемь часов? Думаю не мало, при учёте того, сколько есть лёгких и коротких паролей. А перлесть ещё в том, что всё офлайн можно провернуть. Это круче майнинга, и доходнее. Просто тупо перебираешь, и всё. Пока есть новички, будешь с постоянным доходом. |
NXT -> 11071907025946873740
|
|
|
|
ImmortAlex
|
|
January 26, 2014, 08:53:25 AM |
|
А практика показала что таких наивных с паролем в десять-пятнадцать символов - много. И, кстати, все взломанные утверждали о сложности пароля, но ни один так и не показал свой пароль. Подозреваю паролем был или номер мобильника, или дата какая-то, или что-то просто циферное. Кто-то давно показывал, но это, кажется, ещё была история с поддельным клиентом. А так - да, вполне может быть, что стесняются. Я давно не занимался взломами, но ещё мой старый интеловский проц мог подбирать пароль к sam файлу на скорости более 100 тыс в сек при длинне пароля 8 символов. Говорите каждые восемь часов деньги уводят? Сколько кошельков можно пролистать на современном проце за восемь часов? Думаю не мало, при учёте того, сколько есть лёгких и коротких паролей. А перлесть ещё в том, что всё офлайн можно провернуть.
От алгоритма зависит. В былые годы доводилось пытаться пароли к архивам ломать, дык ARJ на несколько порядков быстрее перебирался, чем RAR. Но тупые цифирьные и короткие пароли нынче, конечно, не спасут. |
|
|
|
|
|
miasik
|
|
January 26, 2014, 08:54:57 AM |
|
Я бубу бороться дальше :-) Еще одна попытка. Какой пароль сложнее: или |
|
|
|
|
basilson
Newbie
Offline
Activity: 35
Merit: 0
|
|
January 26, 2014, 08:55:18 AM |
|
Если кто-то захочет поддержать, номер счета доступен в подписи. Спасибо.
NXT: 5655031817077790666
Номер ванитигеном подбирал, или тебе сопутствовала дьявольская удача? удача, а ты 'didn't pray enough' P.S. спасибо за донейт |
|
|
|
|
|
ImmortAlex
|
|
January 26, 2014, 08:56:03 AM |
|
Берём свежие блоки (всё делается offline) и начинаем перебирать...
0000000001 - смотрим скок денежек, есть переводим, нет дальше идём
0000000002 - смотрим скок денежек, есть переводим, нет дальше идём
.....
9999яЯZZZ - смотрим скок денежек, есть переводим, нет дальше идём
Причём если есть ресурсы, можно не спеша набивать базу соответствий тупых паролей аккаунтам, при получении очередного блока с новым аккаунтом сразу проверять его наличие в уже готовой базе и если найдется - сразу уводить всё, что успело упасть. |
|
|
|
|
xoralex
Newbie
Offline
Activity: 9
Merit: 0
|
|
January 26, 2014, 08:57:07 AM |
|
Очень интересная валюта. Мой номер 18027583818211494654 для 49 nxt. Спасибо!
На счет способа генерации безопасного пароля - можно использовать seed от биткоин кошелька electrum. Этот electrum успешно используют многие люди для хранения биткоина и он считается надежным, значит и сгенерированный таким образом пароль надежен. Он генерирует список из 12 случайных слов. В конце я добавил еще своё случайное несуществующее слово, на случай если этот список слов был не совсем случайным или на случай если будут осуществлять перебор по всем существующим словам. Удобно тем что не надо париться со всякими спец символами, ну и при вводе слов меньше шанс ошибиться. Неудобно тем что пароль в итоге получается довольно длинным и его долговато вводить.
|
|
|
|
|
|
