[ARDR] Nxt: Ardor - масштабируемая ChildChain-платформа

[fehen]

Если имеете понимание, как придумать максимально безопасный пароль – расскажите. Я учту при создании нового аккаунта.

- для максимальной безопасности нужен не только стойкий пароль, но и безопасное окружение. Лучше всего поставить виртуальную машину с каким-нибудь Linux, в котором установлена только  Java, официальный Nxt-сервер, open-source виртуальная клавиатура, и проверенный браузер без всяких примочек. В этой виртуалке никогда никаких программ не запускать, ни на какие сайты (кроме localhost :-)) не заходить. Пароль к своему кошельку вводить только через виртуальную клавиатуру.

О стойком пароле за последние дни писали уже много раз. Пароль обязательно должен содержать спецсимволы, а также буквы разного регистра. Если пароль сгенерирован спец. программой, то нет смысла в его длине более 32-х символов, т.к. он потом всё равно превращается в приватный ключ длиной 32 байта. Если пароль несколько осмысленный (для возможности ввода по памяти), то лучше его сделать несколько больше 32-х символов. Если на виртуальной клавиатуре есть и русские и английские буквы, то можно подобрать русскую фразу, и вводить её в английском регистре, обязательно заменяя по своему алгоритму некоторые буквы на спецсимволы, например, i -> !, a -> _, e -> ~, j - ^, и т.д.

Пример: берём фразу "И опыт, сын ошибок трудных" пишем без пробелов в английском регистре, последнюю букву каждого слова делаем заглавной, получаем "bjgsN,csYjib,jRnhelys{". В момент ввода заменяем буквы по нашему алгоритму, получается: "b^gsN,csY^!b,^Rnh~lys{" . Это позволяет никогда не копи-пастить пароли, а вбивать их через виртуальую клавиатуру - это важно, потому, что клавиатурные шпионы перехватывают не только нажатия клавиш, но и буфер обмена. При этом у вас в виртуальной машине может и не быть шпиона, он он может сидеть и перехватывать клавиши в хостовой машине, где вы по-прежнему сёрфите интернет, запускаете разные программы..

abctc, я понимаю твою позицию. Но эти размышления не в том русле идут.
И пока все говорят в этом направлении, остальные соглашаются и качают головами - да, да, надо делать виртуалку, прятать ноут под подушку, отгонять волны вайфай мухобойкой, другие берут все недостатки NXT и уже делают систему с закрытием всех косяков и багов, всех пользовательских страхов. Вот тебе пример - https://bitcointalk.org/index.php?topic=432483.0, система зажралась, стала неповоротливой, мы же лидеры зачем нам слушать нужды пользователей и все сообщество на них болт положило, когда вокруг стало много превосходящих их аналогов. Вы глазом не успеете моргнуть как сделают систему с лучшими условиями авторизации и все уйдут туда, и я в том числе (ну нахрена мне ночь не спать и бояться что все бабло утащит какой то школьник).

Еще для полноты картины пример.
Представь себе людей которые запарены в своих делах. Им некогда думать о сложностях, они хотят ПОЛЬЗОВАТЬСЯ платежной системой которая не буде доставлять им лишних проблем. Ввел пароль, ввел подтверждение как в яше или btc-e и все. Побежал дальше свои дела делать. Многие вообще не знают таких слов как линукс, троян, кейлогер.
А теперь представь ты приходишь к такому и начинаешь - поставь виртуалку, а он тебе - чаво?, ты ему на нее линукс - а он уже свалил и ты говоришь с пустотой.

Вот парни в английской ветке собираются большой PR делать, народ зазывать. Ну народ придет, посмотрит. Большинство тупо заведут простой пароль и заведут некст и через месяц НАЧНЕТСЯ ТАКОЕ, даже если у 10% из них сопрут бабло - они засрут NXT своими слюнями. Думаешь 10% недостаточно? Посмотри на все революции и бунты, сраные 5% долбоебов сметают государства и страны, а ты говоришь о такой козявке по сравнению с ними как виртуальная крипта.
Через месяц NXT будет смерть моральная и репутационная и это потом хрен исправишь.

Все отговорки и нравоучения о усложнении среды и прочее это для гиков, но на гиках курс расти не будет, их мало. А для простых людей нужно - просто и безопасно. Ну не любят они думать и очковать.

Если бы я был из биткоин сообщества, я бы сейчас заказал сотни статей об этой слабости NXT и похоронил бы его репутацию. Если дело останется так как есть, это смогут сделатьв  любой момент. Вот все будет расти, все будут радоваться, а задний проход оставят открытым. Вот в него и введут вакцину. Помяните мои слова и не жалуйтесь потом на такие черные PR компании.

Надо об этом думать заранее, нефиг успокаиватся!!!! Работать надо - фигачить защиту транзакций.  От идей до кода.

[ImmortAlex]

Я бубу бороться дальше :-) Еще одна попытка. Какой пароль сложнее:

Code:

Мама мыла раму

или

Code:

Vfvf vskf hfve

Ещё раз: если кто-то будет искать пароли по русскому словарю с учетом раскладки - пароль совершенно небезопасен.
Но если взломщик - пиндос, знать не знающий про русскую раскладку, то пароль подобного вида (только подлиннее) более-менее ещё ничё так.
Но я бы так делать не стал.
Кстати, простая замена букв похожими цифрами  (E -> 3, S -> 5) - тоже может не помочь. Та же PCL имеет для таких замен правила.

[ImmortAlex]

Ввел пароль, ввел подтверждение

Кому и что ты подтверждать будешь в децентрализованной системе?

Ещё раз: Nxt ничем не отличается от биткоина. Щас кто-нибудь в альтернативном клиенте сделает автогенерацию привкея и сохранение его в wallet.dat - и будет как в биткоине. И этот валлет будут пиздить так же, как в биткоине - вирусами. А если поверх валлета сделать шифрование, как в биткоине - то будут пиздить вирусами со встроенным кейлоггером.
Ну т.е. вообще ничего не изменится. Будет как уже пять лет есть у биткоина. Причём добавится проблема: "бля я отформатировал диск цэ где мой валлет!!1111"

Представь себе людей которые запарены в своих делах.

Я обожаю таких людей, они приносят деньги и платят. Всегда. Правда, почему-то это не уменьшает их запаренности.

[Siroc-co]

Я бубу бороться дальше :-) Еще одна попытка. Какой пароль сложнее:

Code:

Мама мыла раму

или

Code:

Vfvf vskf hfve

Ох ё... Да поймите Вы уже, надёжнее тот, который не предсказуемее. Хотите пример надёжных? Нате:

sХkУJЙtР~А}ЗxГ?АrДЕАoЕkШcЬIвi0TlN#P~KаpЭCТSОAТo*ПbАlРrО@ЛIЬwgq1Foq*sX汉~jGG漢B©5p4%L|VTbFwr36oYữC字

Кстати, это номер кошелька будет: 275928551880202224
Можете пользоваться, мне не жалко. Пароль надёжный, инфа 146% )))

Nxt ничем не отличается от биткоина.

Отличается тем, что есть возможность создать пасс фразу короткой. В битке создаётся произвольная и длинная по умолчанию, потому там нет случаев брутфорса..

[ImmortAlex]

Не надо равняться и сравниваться с биткоином. Если бы Стив Джобс равнялся на ПС, знал бы мир тонкий как лезвие макбук? Айфоны? А?

Зри в корень и проблему и не уговаривай себя что ее нет.

Вот вы как будто в вакууме живете, за вами уже конкуренты по пятам идут (не обязательно создатели некста 2), а вы - да нет никаких конкурентов, нет никаких черных пиарщиков, нет никаких рисков репутационных если сотни простых юзеров начнут вой в сети.

Первым корнем зла является то, что система - децентрализованная. В ней некому делать подтверждение. Нет логина, нет пароля, есть только твой приватный ключ.
И не надо просить сделать иначе. Знаешь как сделать - сделай сам, бабла подымешь Я, например, даже не представляю.

Вторым корнем зла является сам NRS.
Если бы в самом начале был сделан wallet.dat, я уверен, подобных разговоров бы не было. А теперь все считают, что вводят там какой-то пароль и требуют сделать подтверждение к нему. Даже когда вводят его на локалхосте.
И если б в самом начале это не был бы HTML, то никто б и не думал, что он куда-то логинится.
А интерфейс NRS внезапно смешался с тем, как выглядит типичный логин на какой-то сервер. И всё, и теперь хрен переубедишь.

[miasik]

sХkУJЙtР~А}ЗxГ?АrДЕАoЕkШcЬIвi0TlN#P~KаpЭCТSОAТo*ПbАlРrО@ЛIЬwgq1Foq*sX汉~jGG漢B©5p4%L|VTbFwr36oYữC字
Кстати, это номер кошелька будет: 275928551880202224

Я предпочитаю такие, которые можно запомнить или повторно сгенерировать у себя в голове. Вопрос был просто о влиянии раскладки на сложность и всё.
Nxt дает возможность выбрать между запоминаемым паролем без файла (по умолчанию) или написатьсвою реализацию пароля и ключа в файле(как биток).

[scor2k]

Что бы разбавить топик и немного увести тему от брутфорса кошельков, хотел сказать про Arbitrary Message System

Все (вроде) знаю что это такое, но как отправить сообщение - знают единицы Да. Есть API, но, как показала практика, использовать его могут единицы. Да, есть сторонние клиенты - но это страшно (да, да, опять страшно) - так как нет доверия к тому, кто его написал

Есть выход Все знаю про интерфейс для создания альясов - alias.html, но мало кто знает, что запрос на создания альяса и отправки сообщения практически одинаков. Я взял этот файлик и создал на его основе новый - am.html Изменились название полей, немного дописал для конвертации строк в HEX формат (требования протокола). Больше ничего не изменял.

Проверить этот файл на отправку данных в "левые" адреса - проще простого, нужна банальная логика (проверить сторонний клиент, даже при наличии исходников, дело довольно сложное и требует определенных знаний).

В общем, как-то так. Положил его сюда: https://github.com/scor2k/am

Если хотите - пользуйтесь

[ImmortAlex]

Я предпочитаю такие, которые можно запомнить или повторно сгенерировать у себя в голове.

Аналогично. И хотя пароль от аккаунта Nxt у меня немаленький, я уверен, что даже сокращенный втрое он был бы вполне годным.
При этом я всегда могу его ввести "из головы", без бумажки и файла.
И это гораздо надёжнее, чем всякие генераторы.
Хотя, если стукнуть меня по голове... [одевает каску]

[manrus]

А какая разница откуда пароль? Из головы или из wallet.dat. Кейлоггер NXT и Битки украдет сразу.

Лучше подумать о безопасности всего компьютера и иметь как минимум Firewall + Antivirus.

[ImmortAlex]

А какая разница откуда пароль? Из головы или из wallet.dat. Кейлоггер NXT и Битки украдет сразу.

Не боюсь посыпавшегося винта, не надо заморачиваться с бэкапами.
Могу на любом компе поднять NRS и воспользоваться своими монетами.
Ну т.е. для меня именно брейнваллет удобнее "классического" wallet.dat.

[fehen]

А какая разница откуда пароль? Из головы или из wallet.dat. Кейлоггер NXT и Битки украдет сразу.

Лучше подумать о безопасности всего компьютера и иметь как минимум Firewall + Antivirus.

Лучше всего внешнее устройство. Не надо делать его обязательным. Пусть это будет опция.
Мне на данный момент видится вариант у BTC-у как самый лучший, я о гугл приложении с кваркодом.

Распечатал этот код и все, сохранил ключ.

Еще раззз повторюсь, я уверен что это можно сделать. Остальное лень и нежелание решать проблему.

Кстати, эта проблема станет в свое время сопротивление к росту некста (возможно уже). А решение этой проблемой - новым драйвером для роста.
Вот будет он биться в какую-то планку цены, а некст сообщество бац и дает новость - улучшена защита NRS! И курс пиууу и вверх полетит.

[fehen]

А какая разница откуда пароль? Из головы или из wallet.dat. Кейлоггер NXT и Битки украдет сразу.

Лучше подумать о безопасности всего компьютера и иметь как минимум Firewall + Antivirus.

Ну вот если MAC это чем то спасает?

[ImmortAlex]

Вот будет он биться в какую-то планку цены, а некст сообщество бац и дает новость - улучшена защита NRS! И курс пиууу и вверх полетит.

А что если курс "пиууу и вверх" никому не нужен?

[manrus]

А какая разница откуда пароль? Из головы или из wallet.dat. Кейлоггер NXT и Битки украдет сразу.

Лучше подумать о безопасности всего компьютера и иметь как минимум Firewall + Antivirus.

Ну вот если MAC это чем то спасает?

Если MAC или Linux то спасет существенно  Firewall для винды надо иметь обязательно.

[ImmortAlex]

Еще раззз повторюсь, я уверен что это можно сделать.

Способ решения знаешь?
Сразу предупреждаю: авторизация а-ля 2ФА от гугла технически невозможна в децентрализованной системе, ибо подразумевает наличие центра, выполняющего проверку.

[fehen]

Еще раззз повторюсь, я уверен что это можно сделать.

Способ решения знаешь?

Я знаю что его надо искать и решать, а не останавливаться, это больше чем сказать - это невозможно.

Ну, у нас у руля гений, гений может все. Или не сможет, тогда он не гений.

[DrBeer]

Можно наверное и другим путем - минимизировать продуктивность взлома - просто собирать на нодах 5-10 минутный буфер IP-шников  с подозрительным поведением и лочить на 10-15 минут, например 5 попыток ввода - давай отдыхай, тогда брутфорс станет просто нелогичным

Так брутфорс не требует обращения к сети.
Господи, вы действительно полагаете, что в криптовалюте второго поколения ввели сервер с авторизацией?! Что в него ломятся злоумышленники, что в нём можно сделать двухфакторную авторизацию?!
Если б BCNext был мёртв, его гроб бы уже разнесло в щепки.

Это прекрасно что вы такой умный что можете возмущаться Вот мне к примеру абсолютно не стыдно признаться что  мало чего знаю и понимаю в криптовалютах, просвятите ? Поясните почему ?

Я уже как-то задавал вопрос о том, что при опубликованном алгоритме генерации на основе пароля номера кошелька (точнее какой то части какогото хеша) вполне не проблема создать базу этих самых пар Пароль/Хеш/номер кошелька, как допустим сделана база для перебора MD5 хешей (если не ошибаюсь). Тупо нагенерить по алгоритму с символа asci(0) и до пока не накроет облом. И пожалуйста - есть список кошельков, бери нехочу ! Но мне сказали что так "не покатит". Правда я не понял почему, хотя по рекомендации первую страницу и описание сесюрности перечитал несколько раз Может вы, как знающий, поясните почему нет ?

[ImmortAlex]

Еще раззз повторюсь, я уверен что это можно сделать.

Способ решения знаешь?

Я знаю что его надо искать и решать, а не останавливаться, это больше чем сказать - это невозможно.

"Невозможно" имеется ввиду невозможно в том виде, как это все предлагают, т.е. в виде централизованной 2ФА.

Я за крипто наблюдаю давно, но такую истерию по паролям вижу впервые.
Вот у догов вообще всё как у всех, воруй-не хочу, однако пока доги "тудамун" - хоть бы кто сказал, что "wallet.dat воруется на раз, дайте мне гугль аутентификатор!"

[ImmortAlex]

Я уже как-то задавал вопрос о том, что при опубликованном алгоритме генерации на основе пароля номера кошелька (точнее какой то части какогото хеша) вполне не проблема создать базу этих самых пар Пароль/Хеш/номер кошелька, как допустим сделана база для перебора MD5 хешей (если не ошибаюсь). Тупо нагенерить по алгоритму с символа asci(0) и до пока не накроет облом. И пожалуйста - есть список кошельков, бери нехочу ! Но мне сказали что так "не покатит". Правда я не понял почему, хотя по рекомендации первую страницу и описание сесюрности перечитал несколько раз Может вы, как знающий, поясните почему нет ?

Вполне прокатит. Если у вас есть место и время для хранения 2⁶⁴ пар. Это 18'446'744'073'709'551'616, если что. Можете попытаться написать это число словами, чтоб понять его массивность Если считаете, что набить такую базу не проблема - вперёд!

А на самом деле, такое количество даже перебрать не сохраняя - надо прорву времени. Причём любой аккаунт, с которого отправлена хоть одна транзакция, автоматически выпадает из этого множества и переходит во множество 2²⁵⁶.
Т.о. в данный момент подобрать можно только те аккаунты, пароли к которым подбираются по словарю, либо слишком короткие.

ЗЫ: для md5 вроде бы коллизии находили, и составляли таблицы для облегчения нахождения коллизий. Хотя могу ошибаться, давно не интересовался.

[fsb4000]

Я уже как-то задавал вопрос о том, что при опубликованном алгоритме генерации на основе пароля номера кошелька (точнее какой то части какогото хеша) вполне не проблема создать базу этих самых пар Пароль/Хеш/номер кошелька, как допустим сделана база для перебора MD5 хешей (если не ошибаюсь). Тупо нагенерить по алгоритму с символа asci(0) и до пока не накроет облом. И пожалуйста - есть список кошельков, бери нехочу ! Но мне сказали что так "не покатит". Правда я не понял почему, хотя по рекомендации первую страницу и описание сесюрности перечитал несколько раз Может вы, как знающий, поясните почему нет ?

Можно, вот для биткоина уже сделали такую таблицу http://directory.io/ 
Возможно кто-то и для NXT сделает 
P.S. 904625697166532776746648320380374280100293470930272690489102837043110636675 страниц это ОЧЕНЬ МНОГО