fehen
Newbie
Offline
Activity: 56
Merit: 0
|
|
January 26, 2014, 08:57:34 AM |
|
Если имеете понимание, как придумать максимально безопасный пароль – расскажите. Я учту при создании нового аккаунта.
- для максимальной безопасности нужен не только стойкий пароль, но и безопасное окружение. Лучше всего поставить виртуальную машину с каким-нибудь Linux, в котором установлена только Java, официальный Nxt-сервер, open-source виртуальная клавиатура, и проверенный браузер без всяких примочек. В этой виртуалке никогда никаких программ не запускать, ни на какие сайты (кроме localhost :-)) не заходить. Пароль к своему кошельку вводить только через виртуальную клавиатуру. О стойком пароле за последние дни писали уже много раз. Пароль обязательно должен содержать спецсимволы, а также буквы разного регистра. Если пароль сгенерирован спец. программой, то нет смысла в его длине более 32-х символов, т.к. он потом всё равно превращается в приватный ключ длиной 32 байта. Если пароль несколько осмысленный (для возможности ввода по памяти), то лучше его сделать несколько больше 32-х символов. Если на виртуальной клавиатуре есть и русские и английские буквы, то можно подобрать русскую фразу, и вводить её в английском регистре, обязательно заменяя по своему алгоритму некоторые буквы на спецсимволы, например, i -> !, a -> _, e -> ~, j - ^, и т.д. Пример: берём фразу "И опыт, сын ошибок трудных" пишем без пробелов в английском регистре, последнюю букву каждого слова делаем заглавной, получаем "bjgsN,csYjib,jRnhelys{". В момент ввода заменяем буквы по нашему алгоритму, получается: "b^gsN,csY^!b,^Rnh~lys{" . Это позволяет никогда не копи-пастить пароли, а вбивать их через виртуальую клавиатуру - это важно, потому, что клавиатурные шпионы перехватывают не только нажатия клавиш, но и буфер обмена. При этом у вас в виртуальной машине может и не быть шпиона, он он может сидеть и перехватывать клавиши в хостовой машине, где вы по-прежнему сёрфите интернет, запускаете разные программы.. abctc, я понимаю твою позицию. Но эти размышления не в том русле идут. И пока все говорят в этом направлении, остальные соглашаются и качают головами - да, да, надо делать виртуалку, прятать ноут под подушку, отгонять волны вайфай мухобойкой, другие берут все недостатки NXT и уже делают систему с закрытием всех косяков и багов, всех пользовательских страхов. Вот тебе пример - https://bitcointalk.org/index.php?topic=432483.0, система зажралась, стала неповоротливой, мы же лидеры зачем нам слушать нужды пользователей и все сообщество на них болт положило, когда вокруг стало много превосходящих их аналогов. Вы глазом не успеете моргнуть как сделают систему с лучшими условиями авторизации и все уйдут туда, и я в том числе (ну нахрена мне ночь не спать и бояться что все бабло утащит какой то школьник). Еще для полноты картины пример. Представь себе людей которые запарены в своих делах. Им некогда думать о сложностях, они хотят ПОЛЬЗОВАТЬСЯ платежной системой которая не буде доставлять им лишних проблем. Ввел пароль, ввел подтверждение как в яше или btc-e и все. Побежал дальше свои дела делать. Многие вообще не знают таких слов как линукс, троян, кейлогер. А теперь представь ты приходишь к такому и начинаешь - поставь виртуалку, а он тебе - чаво?, ты ему на нее линукс - а он уже свалил и ты говоришь с пустотой. Вот парни в английской ветке собираются большой PR делать, народ зазывать. Ну народ придет, посмотрит. Большинство тупо заведут простой пароль и заведут некст и через месяц НАЧНЕТСЯ ТАКОЕ, даже если у 10% из них сопрут бабло - они засрут NXT своими слюнями. Думаешь 10% недостаточно? Посмотри на все революции и бунты, сраные 5% долбоебов сметают государства и страны, а ты говоришь о такой козявке по сравнению с ними как виртуальная крипта. Через месяц NXT будет смерть моральная и репутационная и это потом хрен исправишь. Все отговорки и нравоучения о усложнении среды и прочее это для гиков, но на гиках курс расти не будет, их мало. А для простых людей нужно - просто и безопасно. Ну не любят они думать и очковать. Если бы я был из биткоин сообщества, я бы сейчас заказал сотни статей об этой слабости NXT и похоронил бы его репутацию. Если дело останется так как есть, это смогут сделатьв любой момент. Вот все будет расти, все будут радоваться, а задний проход оставят открытым. Вот в него и введут вакцину. Помяните мои слова и не жалуйтесь потом на такие черные PR компании. Надо об этом думать заранее, нефиг успокаиватся!!!! Работать надо - фигачить защиту транзакций. От идей до кода.
|
|
|
|
ImmortAlex
|
|
January 26, 2014, 09:00:38 AM |
|
Я бубу бороться дальше :-) Еще одна попытка. Какой пароль сложнее: или Ещё раз: если кто-то будет искать пароли по русскому словарю с учетом раскладки - пароль совершенно небезопасен. Но если взломщик - пиндос, знать не знающий про русскую раскладку, то пароль подобного вида (только подлиннее) более-менее ещё ничё так. Но я бы так делать не стал. Кстати, простая замена букв похожими цифрами (E -> 3, S -> 5) - тоже может не помочь. Та же PCL имеет для таких замен правила.
|
|
|
|
ImmortAlex
|
|
January 26, 2014, 09:07:27 AM |
|
Ввел пароль, ввел подтверждение Кому и что ты подтверждать будешь в децентрализованной системе? Ещё раз: Nxt ничем не отличается от биткоина. Щас кто-нибудь в альтернативном клиенте сделает автогенерацию привкея и сохранение его в wallet.dat - и будет как в биткоине. И этот валлет будут пиздить так же, как в биткоине - вирусами. А если поверх валлета сделать шифрование, как в биткоине - то будут пиздить вирусами со встроенным кейлоггером. Ну т.е. вообще ничего не изменится. Будет как уже пять лет есть у биткоина. Причём добавится проблема: "бля я отформатировал диск цэ где мой валлет!!1111" Представь себе людей которые запарены в своих делах. Я обожаю таких людей, они приносят деньги и платят. Всегда. Правда, почему-то это не уменьшает их запаренности.
|
|
|
|
Siroc-co
Full Member
Offline
Activity: 210
Merit: 100
)))
|
|
January 26, 2014, 09:19:18 AM |
|
Я бубу бороться дальше :-) Еще одна попытка. Какой пароль сложнее: или Ох ё... Да поймите Вы уже, надёжнее тот, который не предсказуемее. Хотите пример надёжных? Нате: s Хk УJ Йt Р~ А} Зx Г? Аr ДЕ Аo Еk Шc ЬIвi0TlN#P~Kаp ЭC ТS ОA Тo* Пb Аl Рr О@ ЛI Ьwgq1Foq*sX汉~jGG漢B©5p4%L|VTbFwr36oYữC字 Кстати, это номер кошелька будет: 275928551880202224 Можете пользоваться, мне не жалко. Пароль надёжный, инфа 146% ))) Nxt ничем не отличается от биткоина.
Отличается тем, что есть возможность создать пасс фразу короткой. В битке создаётся произвольная и длинная по умолчанию, потому там нет случаев брутфорса..
|
NXT -> 11071907025946873740
|
|
|
ImmortAlex
|
|
January 26, 2014, 09:27:24 AM |
|
Не надо равняться и сравниваться с биткоином. Если бы Стив Джобс равнялся на ПС, знал бы мир тонкий как лезвие макбук? Айфоны? А?
Зри в корень и проблему и не уговаривай себя что ее нет.
Вот вы как будто в вакууме живете, за вами уже конкуренты по пятам идут (не обязательно создатели некста 2), а вы - да нет никаких конкурентов, нет никаких черных пиарщиков, нет никаких рисков репутационных если сотни простых юзеров начнут вой в сети. Первым корнем зла является то, что система - децентрализованная. В ней некому делать подтверждение. Нет логина, нет пароля, есть только твой приватный ключ. И не надо просить сделать иначе. Знаешь как сделать - сделай сам, бабла подымешь Я, например, даже не представляю. Вторым корнем зла является сам NRS. Если бы в самом начале был сделан wallet.dat, я уверен, подобных разговоров бы не было. А теперь все считают, что вводят там какой-то пароль и требуют сделать подтверждение к нему. Даже когда вводят его на локалхосте. И если б в самом начале это не был бы HTML, то никто б и не думал, что он куда-то логинится. А интерфейс NRS внезапно смешался с тем, как выглядит типичный логин на какой-то сервер. И всё, и теперь хрен переубедишь.
|
|
|
|
miasik
|
|
January 26, 2014, 09:34:32 AM |
|
sХkУJЙtР~А}ЗxГ?АrДЕАoЕkШcЬIвi0TlN#P~KаpЭCТSОAТo*ПbАlРrО@ЛIЬwgq1Foq*sX汉~jGG漢B©5p4%L|VTbFwr36oYữC字 Кстати, это номер кошелька будет: 275928551880202224 Я предпочитаю такие, которые можно запомнить или повторно сгенерировать у себя в голове. Вопрос был просто о влиянии раскладки на сложность и всё. Nxt дает возможность выбрать между запоминаемым паролем без файла (по умолчанию) или написатьсвою реализацию пароля и ключа в файле(как биток).
|
|
|
|
scor2k
Legendary
Offline
Activity: 1005
Merit: 1002
work hard, die young (c)
|
|
January 26, 2014, 09:35:58 AM |
|
Что бы разбавить топик и немного увести тему от брутфорса кошельков, хотел сказать про Arbitrary Message System Все (вроде) знаю что это такое, но как отправить сообщение - знают единицы Да. Есть API, но, как показала практика, использовать его могут единицы. Да, есть сторонние клиенты - но это страшно (да, да, опять страшно) - так как нет доверия к тому, кто его написал Есть выход Все знаю про интерфейс для создания альясов - alias.html, но мало кто знает, что запрос на создания альяса и отправки сообщения практически одинаков. Я взял этот файлик и создал на его основе новый - am.html Изменились название полей, немного дописал для конвертации строк в HEX формат (требования протокола). Больше ничего не изменял. Проверить этот файл на отправку данных в "левые" адреса - проще простого, нужна банальная логика (проверить сторонний клиент, даже при наличии исходников, дело довольно сложное и требует определенных знаний). В общем, как-то так. Положил его сюда: https://github.com/scor2k/am Если хотите - пользуйтесь
|
|
|
|
ImmortAlex
|
|
January 26, 2014, 09:45:09 AM |
|
Я предпочитаю такие, которые можно запомнить или повторно сгенерировать у себя в голове. Аналогично. И хотя пароль от аккаунта Nxt у меня немаленький, я уверен, что даже сокращенный втрое он был бы вполне годным. При этом я всегда могу его ввести "из головы", без бумажки и файла. И это гораздо надёжнее, чем всякие генераторы. Хотя, если стукнуть меня по голове... [одевает каску]
|
|
|
|
manrus
Legendary
Offline
Activity: 1334
Merit: 1004
TTM
|
|
January 26, 2014, 09:53:38 AM |
|
А какая разница откуда пароль? Из головы или из wallet.dat. Кейлоггер NXT и Битки украдет сразу.
Лучше подумать о безопасности всего компьютера и иметь как минимум Firewall + Antivirus.
|
|
|
|
ImmortAlex
|
|
January 26, 2014, 09:58:17 AM |
|
А какая разница откуда пароль? Из головы или из wallet.dat. Кейлоггер NXT и Битки украдет сразу.
Не боюсь посыпавшегося винта, не надо заморачиваться с бэкапами. Могу на любом компе поднять NRS и воспользоваться своими монетами. Ну т.е. для меня именно брейнваллет удобнее "классического" wallet.dat.
|
|
|
|
fehen
Newbie
Offline
Activity: 56
Merit: 0
|
|
January 26, 2014, 10:07:29 AM |
|
А какая разница откуда пароль? Из головы или из wallet.dat. Кейлоггер NXT и Битки украдет сразу.
Лучше подумать о безопасности всего компьютера и иметь как минимум Firewall + Antivirus.
Лучше всего внешнее устройство. Не надо делать его обязательным. Пусть это будет опция. Мне на данный момент видится вариант у BTC-у как самый лучший, я о гугл приложении с кваркодом. Распечатал этот код и все, сохранил ключ. Еще раззз повторюсь, я уверен что это можно сделать. Остальное лень и нежелание решать проблему. Кстати, эта проблема станет в свое время сопротивление к росту некста (возможно уже). А решение этой проблемой - новым драйвером для роста. Вот будет он биться в какую-то планку цены, а некст сообщество бац и дает новость - улучшена защита NRS! И курс пиууу и вверх полетит.
|
|
|
|
fehen
Newbie
Offline
Activity: 56
Merit: 0
|
|
January 26, 2014, 10:08:13 AM |
|
А какая разница откуда пароль? Из головы или из wallet.dat. Кейлоггер NXT и Битки украдет сразу.
Лучше подумать о безопасности всего компьютера и иметь как минимум Firewall + Antivirus.
Ну вот если MAC это чем то спасает?
|
|
|
|
ImmortAlex
|
|
January 26, 2014, 10:09:35 AM |
|
Вот будет он биться в какую-то планку цены, а некст сообщество бац и дает новость - улучшена защита NRS! И курс пиууу и вверх полетит. А что если курс "пиууу и вверх" никому не нужен?
|
|
|
|
manrus
Legendary
Offline
Activity: 1334
Merit: 1004
TTM
|
|
January 26, 2014, 10:09:39 AM |
|
А какая разница откуда пароль? Из головы или из wallet.dat. Кейлоггер NXT и Битки украдет сразу.
Лучше подумать о безопасности всего компьютера и иметь как минимум Firewall + Antivirus.
Ну вот если MAC это чем то спасает? Если MAC или Linux то спасет существенно Firewall для винды надо иметь обязательно.
|
|
|
|
ImmortAlex
|
|
January 26, 2014, 10:10:10 AM |
|
Еще раззз повторюсь, я уверен что это можно сделать. Способ решения знаешь? Сразу предупреждаю: авторизация а-ля 2ФА от гугла технически невозможна в децентрализованной системе, ибо подразумевает наличие центра, выполняющего проверку.
|
|
|
|
fehen
Newbie
Offline
Activity: 56
Merit: 0
|
|
January 26, 2014, 10:12:56 AM |
|
Еще раззз повторюсь, я уверен что это можно сделать. Способ решения знаешь? Я знаю что его надо искать и решать, а не останавливаться, это больше чем сказать - это невозможно. Ну, у нас у руля гений, гений может все. Или не сможет, тогда он не гений.
|
|
|
|
DrBeer
Legendary
Offline
Activity: 3948
Merit: 2251
Payment Gateway Allows Recurring Payments
|
|
January 26, 2014, 10:19:16 AM |
|
Можно наверное и другим путем - минимизировать продуктивность взлома - просто собирать на нодах 5-10 минутный буфер IP-шников с подозрительным поведением и лочить на 10-15 минут, например 5 попыток ввода - давай отдыхай, тогда брутфорс станет просто нелогичным
Так брутфорс не требует обращения к сети. Господи, вы действительно полагаете, что в криптовалюте второго поколения ввели сервер с авторизацией?! Что в него ломятся злоумышленники, что в нём можно сделать двухфакторную авторизацию?! Если б BCNext был мёртв, его гроб бы уже разнесло в щепки. Это прекрасно что вы такой умный что можете возмущаться Вот мне к примеру абсолютно не стыдно признаться что мало чего знаю и понимаю в криптовалютах, просвятите ? Поясните почему ? Я уже как-то задавал вопрос о том, что при опубликованном алгоритме генерации на основе пароля номера кошелька (точнее какой то части какогото хеша) вполне не проблема создать базу этих самых пар Пароль/Хеш/номер кошелька, как допустим сделана база для перебора MD5 хешей (если не ошибаюсь). Тупо нагенерить по алгоритму с символа asci(0) и до пока не накроет облом. И пожалуйста - есть список кошельков, бери нехочу ! Но мне сказали что так "не покатит". Правда я не понял почему, хотя по рекомендации первую страницу и описание сесюрности перечитал несколько раз Может вы, как знающий, поясните почему нет ?
|
|
|
|
ImmortAlex
|
|
January 26, 2014, 10:19:50 AM |
|
Еще раззз повторюсь, я уверен что это можно сделать. Способ решения знаешь? Я знаю что его надо искать и решать, а не останавливаться, это больше чем сказать - это невозможно. "Невозможно" имеется ввиду невозможно в том виде, как это все предлагают, т.е. в виде централизованной 2ФА. Я за крипто наблюдаю давно, но такую истерию по паролям вижу впервые. Вот у догов вообще всё как у всех, воруй-не хочу, однако пока доги "тудамун" - хоть бы кто сказал, что "wallet.dat воруется на раз, дайте мне гугль аутентификатор!"
|
|
|
|
ImmortAlex
|
|
January 26, 2014, 10:26:01 AM |
|
Я уже как-то задавал вопрос о том, что при опубликованном алгоритме генерации на основе пароля номера кошелька (точнее какой то части какогото хеша) вполне не проблема создать базу этих самых пар Пароль/Хеш/номер кошелька, как допустим сделана база для перебора MD5 хешей (если не ошибаюсь). Тупо нагенерить по алгоритму с символа asci(0) и до пока не накроет облом. И пожалуйста - есть список кошельков, бери нехочу ! Но мне сказали что так "не покатит". Правда я не понял почему, хотя по рекомендации первую страницу и описание сесюрности перечитал несколько раз Может вы, как знающий, поясните почему нет ? Вполне прокатит. Если у вас есть место и время для хранения 2 64 пар. Это 18'446'744'073'709'551'616, если что. Можете попытаться написать это число словами, чтоб понять его массивность Если считаете, что набить такую базу не проблема - вперёд! А на самом деле, такое количество даже перебрать не сохраняя - надо прорву времени. Причём любой аккаунт, с которого отправлена хоть одна транзакция, автоматически выпадает из этого множества и переходит во множество 2 256. Т.о. в данный момент подобрать можно только те аккаунты, пароли к которым подбираются по словарю, либо слишком короткие. ЗЫ: для md5 вроде бы коллизии находили, и составляли таблицы для облегчения нахождения коллизий. Хотя могу ошибаться, давно не интересовался.
|
|
|
|
fsb4000
Legendary
Offline
Activity: 1400
Merit: 1000
|
|
January 26, 2014, 10:31:14 AM |
|
Я уже как-то задавал вопрос о том, что при опубликованном алгоритме генерации на основе пароля номера кошелька (точнее какой то части какогото хеша) вполне не проблема создать базу этих самых пар Пароль/Хеш/номер кошелька, как допустим сделана база для перебора MD5 хешей (если не ошибаюсь). Тупо нагенерить по алгоритму с символа asci(0) и до пока не накроет облом. И пожалуйста - есть список кошельков, бери нехочу ! Но мне сказали что так "не покатит". Правда я не понял почему, хотя по рекомендации первую страницу и описание сесюрности перечитал несколько раз Может вы, как знающий, поясните почему нет ? Можно, вот для биткоина уже сделали такую таблицу http://directory.io/ Возможно кто-то и для NXT сделает P.S. 904625697166532776746648320380374280100293470930272690489102837043110636675 страниц это ОЧЕНЬ МНОГО
|
|
|
|
|