Bitcoin Forum
November 07, 2024, 03:58:57 PM *
News: Latest Bitcoin Core release: 28.0 [Torrent]
 
   Home   Help Search Login Register More  
Pages: « 1 ... 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 [143] 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 ... 793 »
  Print  
Author Topic: [ARDR] Nxt: Ardor - масштабируемая ChildChain-платформа  (Read 1749655 times)
This is a self-moderated topic. If you do not want to be moderated by the person who started this topic, create a new topic.
fehen
Newbie
*
Offline Offline

Activity: 56
Merit: 0


View Profile
January 26, 2014, 08:57:34 AM
 #2841

Если имеете понимание, как придумать максимально безопасный пароль – расскажите. Я учту при создании нового аккаунта.
- для максимальной безопасности нужен не только стойкий пароль, но и безопасное окружение. Лучше всего поставить виртуальную машину с каким-нибудь Linux, в котором установлена только  Java, официальный Nxt-сервер, open-source виртуальная клавиатура, и проверенный браузер без всяких примочек. В этой виртуалке никогда никаких программ не запускать, ни на какие сайты (кроме localhost :-)) не заходить. Пароль к своему кошельку вводить только через виртуальную клавиатуру.

О стойком пароле за последние дни писали уже много раз. Пароль обязательно должен содержать спецсимволы, а также буквы разного регистра. Если пароль сгенерирован спец. программой, то нет смысла в его длине более 32-х символов, т.к. он потом всё равно превращается в приватный ключ длиной 32 байта. Если пароль несколько осмысленный (для возможности ввода по памяти), то лучше его сделать несколько больше 32-х символов. Если на виртуальной клавиатуре есть и русские и английские буквы, то можно подобрать русскую фразу, и вводить её в английском регистре, обязательно заменяя по своему алгоритму некоторые буквы на спецсимволы, например, i -> !, a -> _, e -> ~, j - ^, и т.д.

Пример: берём фразу "И опыт, сын ошибок трудных" пишем без пробелов в английском регистре, последнюю букву каждого слова делаем заглавной, получаем "bjgsN,csYjib,jRnhelys{". В момент ввода заменяем буквы по нашему алгоритму, получается: "b^gsN,csY^!b,^Rnh~lys{" . Это позволяет никогда не копи-пастить пароли, а вбивать их через виртуальую клавиатуру - это важно, потому, что клавиатурные шпионы перехватывают не только нажатия клавиш, но и буфер обмена. При этом у вас в виртуальной машине может и не быть шпиона, он он может сидеть и перехватывать клавиши в хостовой машине, где вы по-прежнему сёрфите интернет, запускаете разные программы..

abctc, я понимаю твою позицию. Но эти размышления не в том русле идут.
И пока все говорят в этом направлении, остальные соглашаются и качают головами - да, да, надо делать виртуалку, прятать ноут под подушку, отгонять волны вайфай мухобойкой, другие берут все недостатки NXT и уже делают систему с закрытием всех косяков и багов, всех пользовательских страхов. Вот тебе пример - https://bitcointalk.org/index.php?topic=432483.0, система зажралась, стала неповоротливой, мы же лидеры зачем нам слушать нужды пользователей и все сообщество на них болт положило, когда вокруг стало много превосходящих их аналогов. Вы глазом не успеете моргнуть как сделают систему с лучшими условиями авторизации и все уйдут туда, и я в том числе (ну нахрена мне ночь не спать и бояться что все бабло утащит какой то школьник).

Еще для полноты картины пример.
Представь себе людей которые запарены в своих делах. Им некогда думать о сложностях, они хотят ПОЛЬЗОВАТЬСЯ платежной системой которая не буде доставлять им лишних проблем. Ввел пароль, ввел подтверждение как в яше или btc-e и все. Побежал дальше свои дела делать. Многие вообще не знают таких слов как линукс, троян, кейлогер.
А теперь представь ты приходишь к такому и начинаешь - поставь виртуалку, а он тебе - чаво?, ты ему на нее линукс - а он уже свалил и ты говоришь с пустотой.

Вот парни в английской ветке собираются большой PR делать, народ зазывать. Ну народ придет, посмотрит. Большинство тупо заведут простой пароль и заведут некст и через месяц НАЧНЕТСЯ ТАКОЕ, даже если у 10% из них сопрут бабло - они засрут NXT своими слюнями. Думаешь 10% недостаточно? Посмотри на все революции и бунты, сраные 5% долбоебов сметают государства и страны, а ты говоришь о такой козявке по сравнению с ними как виртуальная крипта.
Через месяц NXT будет смерть моральная и репутационная и это потом хрен исправишь.

Все отговорки и нравоучения о усложнении среды и прочее это для гиков, но на гиках курс расти не будет, их мало. А для простых людей нужно - просто и безопасно. Ну не любят они думать и очковать.

Если бы я был из биткоин сообщества, я бы сейчас заказал сотни статей об этой слабости NXT и похоронил бы его репутацию. Если дело останется так как есть, это смогут сделатьв  любой момент. Вот все будет расти, все будут радоваться, а задний проход оставят открытым. Вот в него и введут вакцину. Помяните мои слова и не жалуйтесь потом на такие черные PR компании.

Надо об этом думать заранее, нефиг успокаиватся!!!! Работать надо - фигачить защиту транзакций.  От идей до кода.








ImmortAlex
Hero Member
*****
Offline Offline

Activity: 784
Merit: 501


View Profile
January 26, 2014, 09:00:38 AM
 #2842

Я бубу бороться дальше :-) Еще одна попытка. Какой пароль сложнее:
Code:
Мама мыла раму
или
Code:
Vfvf vskf hfve
Ещё раз: если кто-то будет искать пароли по русскому словарю с учетом раскладки - пароль совершенно небезопасен.
Но если взломщик - пиндос, знать не знающий про русскую раскладку, то пароль подобного вида (только подлиннее) более-менее ещё ничё так.
Но я бы так делать не стал.
Кстати, простая замена букв похожими цифрами  (E -> 3, S -> 5) - тоже может не помочь. Та же PCL имеет для таких замен правила.
ImmortAlex
Hero Member
*****
Offline Offline

Activity: 784
Merit: 501


View Profile
January 26, 2014, 09:07:27 AM
 #2843

Ввел пароль, ввел подтверждение
Кому и что ты подтверждать будешь в децентрализованной системе?

Ещё раз: Nxt ничем не отличается от биткоина. Щас кто-нибудь в альтернативном клиенте сделает автогенерацию привкея и сохранение его в wallet.dat - и будет как в биткоине. И этот валлет будут пиздить так же, как в биткоине - вирусами. А если поверх валлета сделать шифрование, как в биткоине - то будут пиздить вирусами со встроенным кейлоггером.
Ну т.е. вообще ничего не изменится. Будет как уже пять лет есть у биткоина. Причём добавится проблема: "бля я отформатировал диск цэ где мой валлет!!1111"

Представь себе людей которые запарены в своих делах.
Я обожаю таких людей, они приносят деньги и платят. Всегда. Правда, почему-то это не уменьшает их запаренности.
Siroc-co
Full Member
***
Offline Offline

Activity: 210
Merit: 100

)))


View Profile
January 26, 2014, 09:19:18 AM
 #2844

Я бубу бороться дальше :-) Еще одна попытка. Какой пароль сложнее:
Code:
Мама мыла раму
или
Code:
Vfvf vskf hfve
Ох ё... Да поймите Вы уже, надёжнее тот, который не предсказуемее. Хотите пример надёжных? Нате:

sХkУJЙtР~А}ЗxГ?АrДЕАoЕkШcЬIвi0TlN#P~KаpЭCТSОAТo*ПbАlРrО@ЛIЬwgq1Foq*sX汉~jGG漢B©5p4%L|VTbFwr36oYữC字

Кстати, это номер кошелька будет: 275928551880202224
Можете пользоваться, мне не жалко. Пароль надёжный, инфа 146% )))


Nxt ничем не отличается от биткоина.
Отличается тем, что есть возможность создать пасс фразу короткой. В битке создаётся произвольная и длинная по умолчанию, потому там нет случаев брутфорса..

NXT -> 11071907025946873740
ImmortAlex
Hero Member
*****
Offline Offline

Activity: 784
Merit: 501


View Profile
January 26, 2014, 09:27:24 AM
 #2845

Не надо равняться и сравниваться с биткоином. Если бы Стив Джобс равнялся на ПС, знал бы мир тонкий как лезвие макбук? Айфоны? А?

Зри в корень и проблему и не уговаривай себя что ее нет.

Вот вы как будто в вакууме живете, за вами уже конкуренты по пятам идут (не обязательно создатели некста 2), а вы - да нет никаких конкурентов, нет никаких черных пиарщиков, нет никаких рисков репутационных если сотни простых юзеров начнут вой в сети.
Первым корнем зла является то, что система - децентрализованная. В ней некому делать подтверждение. Нет логина, нет пароля, есть только твой приватный ключ.
И не надо просить сделать иначе. Знаешь как сделать - сделай сам, бабла подымешь Smiley Я, например, даже не представляю.

Вторым корнем зла является сам NRS.
Если бы в самом начале был сделан wallet.dat, я уверен, подобных разговоров бы не было. А теперь все считают, что вводят там какой-то пароль и требуют сделать подтверждение к нему. Даже когда вводят его на локалхосте.
И если б в самом начале это не был бы HTML, то никто б и не думал, что он куда-то логинится.
А интерфейс NRS внезапно смешался с тем, как выглядит типичный логин на какой-то сервер. И всё, и теперь хрен переубедишь.
miasik
Sr. Member
****
Offline Offline

Activity: 252
Merit: 250


View Profile
January 26, 2014, 09:34:32 AM
 #2846

sХkУJЙtР~А}ЗxГ?АrДЕАoЕkШcЬIвi0TlN#P~KаpЭCТSОAТo*ПbАlРrО@ЛIЬwgq1Foq*sX汉~jGG漢B©5p4%L|VTbFwr36oYữC字
Кстати, это номер кошелька будет: 275928551880202224
Я предпочитаю такие, которые можно запомнить или повторно сгенерировать у себя в голове. Вопрос был просто о влиянии раскладки на сложность и всё.
Nxt дает возможность выбрать между запоминаемым паролем без файла (по умолчанию) или написатьсвою реализацию пароля и ключа в файле(как биток).
scor2k
Legendary
*
Offline Offline

Activity: 1005
Merit: 1002


work hard, die young (c)


View Profile WWW
January 26, 2014, 09:35:58 AM
 #2847

Что бы разбавить топик и немного увести тему от брутфорса кошельков, хотел сказать про Arbitrary Message System Smiley

Все (вроде) знаю что это такое, но как отправить сообщение - знают единицы Smiley Да. Есть API, но, как показала практика, использовать его могут единицы. Да, есть сторонние клиенты - но это страшно (да, да, опять страшно) - так как нет доверия к тому, кто его написал Smiley

Есть выход Smiley Все знаю про интерфейс для создания альясов - alias.html, но мало кто знает, что запрос на создания альяса и отправки сообщения практически одинаков. Я взял этот файлик и создал на его основе новый - am.html Smiley Изменились название полей, немного дописал для конвертации строк в HEX формат (требования протокола). Больше ничего не изменял.

Проверить этот файл на отправку данных в "левые" адреса - проще простого, нужна банальная логика (проверить сторонний клиент, даже при наличии исходников, дело довольно сложное и требует определенных знаний).

В общем, как-то так. Положил его сюда: https://github.com/scor2k/am

Если хотите - пользуйтесь Smiley
ImmortAlex
Hero Member
*****
Offline Offline

Activity: 784
Merit: 501


View Profile
January 26, 2014, 09:45:09 AM
 #2848

Я предпочитаю такие, которые можно запомнить или повторно сгенерировать у себя в голове.
Аналогично. И хотя пароль от аккаунта Nxt у меня немаленький, я уверен, что даже сокращенный втрое он был бы вполне годным.
При этом я всегда могу его ввести "из головы", без бумажки и файла.
И это гораздо надёжнее, чем всякие генераторы.
Хотя, если стукнуть меня по голове... [одевает каску]
manrus
Legendary
*
Offline Offline

Activity: 1334
Merit: 1004


TTM


View Profile
January 26, 2014, 09:53:38 AM
 #2849

А какая разница откуда пароль? Из головы или из wallet.dat. Кейлоггер NXT и Битки украдет сразу.

Лучше подумать о безопасности всего компьютера и иметь как минимум Firewall + Antivirus.
ImmortAlex
Hero Member
*****
Offline Offline

Activity: 784
Merit: 501


View Profile
January 26, 2014, 09:58:17 AM
 #2850

А какая разница откуда пароль? Из головы или из wallet.dat. Кейлоггер NXT и Битки украдет сразу.
Не боюсь посыпавшегося винта, не надо заморачиваться с бэкапами.
Могу на любом компе поднять NRS и воспользоваться своими монетами.
Ну т.е. для меня именно брейнваллет удобнее "классического" wallet.dat.
fehen
Newbie
*
Offline Offline

Activity: 56
Merit: 0


View Profile
January 26, 2014, 10:07:29 AM
 #2851

А какая разница откуда пароль? Из головы или из wallet.dat. Кейлоггер NXT и Битки украдет сразу.

Лучше подумать о безопасности всего компьютера и иметь как минимум Firewall + Antivirus.

Лучше всего внешнее устройство. Не надо делать его обязательным. Пусть это будет опция.
Мне на данный момент видится вариант у BTC-у как самый лучший, я о гугл приложении с кваркодом.

Распечатал этот код и все, сохранил ключ.

Еще раззз повторюсь, я уверен что это можно сделать. Остальное лень и нежелание решать проблему.

Кстати, эта проблема станет в свое время сопротивление к росту некста (возможно уже). А решение этой проблемой - новым драйвером для роста.
Вот будет он биться в какую-то планку цены, а некст сообщество бац и дает новость - улучшена защита NRS! И курс пиууу и вверх полетит.
fehen
Newbie
*
Offline Offline

Activity: 56
Merit: 0


View Profile
January 26, 2014, 10:08:13 AM
 #2852

А какая разница откуда пароль? Из головы или из wallet.dat. Кейлоггер NXT и Битки украдет сразу.

Лучше подумать о безопасности всего компьютера и иметь как минимум Firewall + Antivirus.


Ну вот если MAC это чем то спасает?
ImmortAlex
Hero Member
*****
Offline Offline

Activity: 784
Merit: 501


View Profile
January 26, 2014, 10:09:35 AM
 #2853

Вот будет он биться в какую-то планку цены, а некст сообщество бац и дает новость - улучшена защита NRS! И курс пиууу и вверх полетит.
А что если курс "пиууу и вверх" никому не нужен?
manrus
Legendary
*
Offline Offline

Activity: 1334
Merit: 1004


TTM


View Profile
January 26, 2014, 10:09:39 AM
 #2854

А какая разница откуда пароль? Из головы или из wallet.dat. Кейлоггер NXT и Битки украдет сразу.

Лучше подумать о безопасности всего компьютера и иметь как минимум Firewall + Antivirus.


Ну вот если MAC это чем то спасает?

Если MAC или Linux то спасет существенно Smiley  Firewall для винды надо иметь обязательно.
ImmortAlex
Hero Member
*****
Offline Offline

Activity: 784
Merit: 501


View Profile
January 26, 2014, 10:10:10 AM
 #2855

Еще раззз повторюсь, я уверен что это можно сделать.
Способ решения знаешь?
Сразу предупреждаю: авторизация а-ля 2ФА от гугла технически невозможна в децентрализованной системе, ибо подразумевает наличие центра, выполняющего проверку.
fehen
Newbie
*
Offline Offline

Activity: 56
Merit: 0


View Profile
January 26, 2014, 10:12:56 AM
 #2856

Еще раззз повторюсь, я уверен что это можно сделать.
Способ решения знаешь?

Я знаю что его надо искать и решать, а не останавливаться, это больше чем сказать - это невозможно.

Ну, у нас у руля гений, гений может все. Или не сможет, тогда он не гений.
DrBeer
Legendary
*
Offline Offline

Activity: 3948
Merit: 2251


Payment Gateway Allows Recurring Payments


View Profile WWW
January 26, 2014, 10:19:16 AM
 #2857

Можно наверное и другим путем - минимизировать продуктивность взлома - просто собирать на нодах 5-10 минутный буфер IP-шников  с подозрительным поведением и лочить на 10-15 минут, например 5 попыток ввода - давай отдыхай, тогда брутфорс станет просто нелогичным
Так брутфорс не требует обращения к сети.
Господи, вы действительно полагаете, что в криптовалюте второго поколения ввели сервер с авторизацией?! Что в него ломятся злоумышленники, что в нём можно сделать двухфакторную авторизацию?!
Если б BCNext был мёртв, его гроб бы уже разнесло в щепки.
Это прекрасно что вы такой умный что можете возмущаться Smiley Вот мне к примеру абсолютно не стыдно признаться что  мало чего знаю и понимаю в криптовалютах, просвятите ? Поясните почему ?

Я уже как-то задавал вопрос о том, что при опубликованном алгоритме генерации на основе пароля номера кошелька (точнее какой то части какогото хеша) вполне не проблема создать базу этих самых пар Пароль/Хеш/номер кошелька, как допустим сделана база для перебора MD5 хешей (если не ошибаюсь). Тупо нагенерить по алгоритму с символа asci(0) и до пока не накроет облом. И пожалуйста - есть список кошельков, бери нехочу ! Но мне сказали что так "не покатит". Правда я не понял почему, хотя по рекомендации первую страницу и описание сесюрности перечитал несколько раз Smiley Может вы, как знающий, поясните почему нет ? Smiley

..cryptomus..   
  
.
lllllllllllllllllll CRYPTO
PAYMENT GATEWAY
▄█▀▀██▄░░░▄█████▄░░░▄▀████▄
██░▀▄██░░░██▄░▄██░░░██▄▀▀▀█
██░▀▄██░░░███▄███░░░███░░▄█
▀▀▀▀▀░░░░░▀▀▀▀▀░░░░░▀▀▀▀▀
▄▄▄▄▄░░░░░▄▄▄▄▄░░░░░▄▄▄▄▄
███▀▄██░░░██▀░▀██░░░██▀▀▀▀█
██▀▄███░░░██░░░██░░░█▄███░█
▀█▄▄▄█▀░░░▀██▄██▀░░░▀█▄▄▄█▀

▄█████▄░░░▄█▀▀██▄░░░▄█████▄
█▀░█░▀█░░░█░▀░▀▀█░░░██▄░▄██
█▄█▄█▄█░░░███░▀▄█░░░███▄███
▀▀▀▀▀░░░░░▀▀▀▀▀░░░░░▀▀▀▀▀
ACCEPT
CRYPTO
PAYMENTS
..GET STARTED..
ImmortAlex
Hero Member
*****
Offline Offline

Activity: 784
Merit: 501


View Profile
January 26, 2014, 10:19:50 AM
 #2858

Еще раззз повторюсь, я уверен что это можно сделать.
Способ решения знаешь?
Я знаю что его надо искать и решать, а не останавливаться, это больше чем сказать - это невозможно.
"Невозможно" имеется ввиду невозможно в том виде, как это все предлагают, т.е. в виде централизованной 2ФА.

Я за крипто наблюдаю давно, но такую истерию по паролям вижу впервые.
Вот у догов вообще всё как у всех, воруй-не хочу, однако пока доги "тудамун" - хоть бы кто сказал, что "wallet.dat воруется на раз, дайте мне гугль аутентификатор!"
ImmortAlex
Hero Member
*****
Offline Offline

Activity: 784
Merit: 501


View Profile
January 26, 2014, 10:26:01 AM
 #2859

Я уже как-то задавал вопрос о том, что при опубликованном алгоритме генерации на основе пароля номера кошелька (точнее какой то части какогото хеша) вполне не проблема создать базу этих самых пар Пароль/Хеш/номер кошелька, как допустим сделана база для перебора MD5 хешей (если не ошибаюсь). Тупо нагенерить по алгоритму с символа asci(0) и до пока не накроет облом. И пожалуйста - есть список кошельков, бери нехочу ! Но мне сказали что так "не покатит". Правда я не понял почему, хотя по рекомендации первую страницу и описание сесюрности перечитал несколько раз Smiley Может вы, как знающий, поясните почему нет ? Smiley
Вполне прокатит. Если у вас есть место и время для хранения 264 пар. Это 18'446'744'073'709'551'616, если что. Можете попытаться написать это число словами, чтоб понять его массивность Smiley Если считаете, что набить такую базу не проблема - вперёд!

А на самом деле, такое количество даже перебрать не сохраняя - надо прорву времени. Причём любой аккаунт, с которого отправлена хоть одна транзакция, автоматически выпадает из этого множества и переходит во множество 2256.
Т.о. в данный момент подобрать можно только те аккаунты, пароли к которым подбираются по словарю, либо слишком короткие.

ЗЫ: для md5 вроде бы коллизии находили, и составляли таблицы для облегчения нахождения коллизий. Хотя могу ошибаться, давно не интересовался.
fsb4000
Legendary
*
Offline Offline

Activity: 1400
Merit: 1000



View Profile
January 26, 2014, 10:31:14 AM
 #2860

Я уже как-то задавал вопрос о том, что при опубликованном алгоритме генерации на основе пароля номера кошелька (точнее какой то части какогото хеша) вполне не проблема создать базу этих самых пар Пароль/Хеш/номер кошелька, как допустим сделана база для перебора MD5 хешей (если не ошибаюсь). Тупо нагенерить по алгоритму с символа asci(0) и до пока не накроет облом. И пожалуйста - есть список кошельков, бери нехочу ! Но мне сказали что так "не покатит". Правда я не понял почему, хотя по рекомендации первую страницу и описание сесюрности перечитал несколько раз Smiley Может вы, как знающий, поясните почему нет ? Smiley
Можно, вот для биткоина уже сделали такую таблицу http://directory.io/  Grin
Возможно кто-то и для NXT сделает  Grin
P.S. 904625697166532776746648320380374280100293470930272690489102837043110636675 страниц это ОЧЕНЬ МНОГО  Wink
Pages: « 1 ... 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131 132 133 134 135 136 137 138 139 140 141 142 [143] 144 145 146 147 148 149 150 151 152 153 154 155 156 157 158 159 160 161 162 163 164 165 166 167 168 169 170 171 172 173 174 175 176 177 178 179 180 181 182 183 184 185 186 187 188 189 190 191 192 193 ... 793 »
  Print  
 
Jump to:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!